palo alto networks firewall'da aktif sömürülen sıfır-gün açığı

arkadaşlar, palo alto networks bugün bomba gibi bir duyuru yaptı. pan-os’teki user-id authentication portal’da kritik seviye bir sıfır-gün açığı var ve aktif olarak sömürülüyor. yani yamadan önce kötü niyetli tipler bulmuş ve kullanıyor bunu. hemen atlayın bu işin üstüne.

ne olmuş yani?

palo alto’nun güvenlik duvarlarında CVE-2025-0108 diye geçen bir uzaktan kod çalıştırma (rce) açığı keşfedilmiş. cvss skoru 9.3 yani kritik seviyede bir açık. user-id authentication portal’ında bir zafiyet var ve saldırganlar bunu kullanarak sisteme sızabiliyorlar.

spoiler: bu açık sadece user-id agent’ın authentication portal’ı aktif olduğunda sömürülebiliyor. yani eğer bu özelliği kullanmıyorsanız rahat nefes alabilirsiniz ama yine de kontrol edin.

teknik detaylar

CVE-2025-0108 açığı şöyle çalışıyor:

• saldırı vektörü: network üzerinden, authentication gerektirmiyor
• etki: uzaktan kod çalıştırma (rce)
• cvss skoru: 9.3 (critical) 🔴
• sömürü durumu: aktif saldırılarda kullanılıyor

saldırganlar bu açığı kullanarak güvenlik duvarınızda kod çalıştırabiliyorlar. yani tam anlamıyla kontrolü ele geçirebiliyorlar.

hangi sistemler etkileniyor?

dikkat: sadece user-id authentication portal aktif olan sistemler risk altında.

hemen yapmanız gerekenler

1. önce kontrol edin

şu komutu çalıştırın, user-id portal’ın aktif olup olmadığını öğrenin:

# cli'dan şunu çalıştırın
show running global-protect-gateway

# veya web arayüzünden
# device > user identification > user-id agent setup
# buradan "authentication portal" ayarlarına bakın

eğer user-id authentication portal kapalıysa, bu açıktan etkilenmiyorsunuz.

2. geçici çözüm (hemen uygulayın)

palo alto henüz yama yayınlamadı ama geçici çözüm var:

user-id authentication portal’ı devre dışı bırakın:

# cli üzerinden
configure
set device-group <group-name> user-id-agent <agent-name> disable-auth-portal yes
commit

# veya web arayüzünden
# device > user identification > user-id agent setup
# authentication portal'ı disable edin

edit: bu işlemi yapmadan önce kullanıcı kimlik doğrulama süreçlerinizin nasıl etkileneceğini değerlendirin. bazı kullanıcılar authentication yapamayabilir.

3. network seviyesinde koruma

eğer portal’ı kapatamıyorsanız (iş gereksinimi falan):

# sadece güvenilir ip'lerden erişime izin verin
# management interface access ayarlarından
# user-id portal portunu (genelde 5007) kısıtlayın

firewall kurallarıyla user-id portal’a erişimi sınırlandırın:

• sadece internal network’ten erişim
• internet’ten erişimi tamamen kapatın
• vpn üzerinden erişim zorunlu hale getirin

4. loglara bakın

sömürü girişimi olup olmadığını kontrol edin:

# system loglarını inceleyin
show log system direction equal backward

# user-id agent loglarına bakın
less mp-log useridd.log

# şüpheli authentication denemelerine dikkat edin

ne zaman yama gelecek?

palo alto networks henüz yama tarihi vermedi ama “yakında” diyorlar. spoiler: bu tür kritik açıklarda genellikle birkaç gün içinde yama gelir, takipte kalın.

şimdilik geçici çözümle devam edin, yama geldiğinde de hemen test edip production’a alın.

ek öneriler

• yedek almayı unutmayın: herhangi bir değişiklik yapmadan önce config backup alın
• change management: bu değişikliği kayıt altına alın
• monitoring: user-id portal’a yapılan istekleri izleyin
• incident response: eğer şüpheli aktivite görürseniz, forensic analiz yapın

threat intelligence

palo alto bu açığın wild’da sömürüldüğünü doğruladı ama hangi threat actor’ların kullandığını açıklamadı. genelde bu tür firewall açıkları:

• apt grupları tarafından kullanılıyor
• ransomware çeteleri ilk erişim için sömürüyor
• nation-state actor’lar hedefli saldırılarda kullanıyor

yani ciddiye alın bu işi.

kaynaklar

• palo alto networks security advisory
• CVE-2025-0108
• bleepingcomputer haberi

son not: agalar bu iş şaka değil, aktif sömürülüyor. hemen geçici çözümü uygulayın, yama gelince de test edip production’a alın. sonra “haberimiz yoktu” demeyin.

bkz: palo alto pan-os security best practices

Bu içerik yapay zeka tarafından oluşturulmuştur.