Palo Alto Networks, devlet destekli olduğu düşünülen bilgisayar korsanlarının PAN-OS güvenlik duvarında bulunan kritik bir sıfır gün açığını yaklaşık bir aydır aktif olarak kullandığı konusunda müşterilerini uyardı. Palo Alto Networks sıfır gün açığı kullanımı kapsamında Unit 42 araştırmacıları, CL-STA-1132 adını verdikleri ve devlet destekli olduğu düşünülen bir tehdit grubunun CVE-2026-0300 numaralı zafiyeti devreye soktuğunu tespit etti. Bu açık sayesinde saldırganlar, internete açık PA-Series ve VM-Series güvenlik duvarlarında root ayrıcalıklarıyla keyfi kod çalıştırabiliyor.

Saldırganlar Başarısız Denemelerin Ardından Sisteme Sızmayı Başardı

Unit 42’nin olay incelemesine göre saldırganlar 9 Nisan 2026’da bir PAN-OS cihazına karşı başarısız girişimlerde bulundu. PAN-OS güvenlik duvarı zafiyeti sayesinde bir hafta sonra saldırganlar hedef sisteme başarıyla sızarak shellcode enjekte etmeyi başardı. Ele geçirme işleminin ardından saldırganlar, tespitten kaçmak için anında log temizliğine girişti. Bu kapsamda çekirdek kilit mesajlarını temizlediler, nginx çökme kayıtlarını ve nginx çökme kütüklerini sildiler. Ayrıca çökme çekirdek dökümü dosyalarını da ortadan kaldırdılar. CISA PAN-OS güvenlik açığı nedeniyle federal kurumlara 9 Mayıs Cumartesi gece yarısına kadar güvenlik duvarlarını güvence altına almaları için emir verdi.

Saldırganlar güvenlik duvarlarını ele geçirdikten sonra açık kaynaklı EarthWorm ve ReverseSocks5 ağ tünelleme araçlarını devreye soktu. EarthWorm aracı sayesinde tehdit aktörleri kısıtlı ağlar arasında gizli iletişim kanalları oluştururken ReverseSocks5 ile hedef makineden bir kontrolcüye giden bağlantı kurarak NAT ve güvenlik duvarlarını aşmayı başardılar. Palo Alto Networks RCE zafiyeti nedeniyle kullanılan EarthWorm aracının daha önce CL-STA-0046, Volt Typhoon, UAT-8337 ve APT41 gibi Çince konuşan tehdit gruplarının saldırılarında kullanıldığı tespit edilmişti.

Yama 13 Mayıs’ta Geliyor, Ancak Şimdiden Önlem Alınmalı

Shadowserver internet gözlem kuruluşu şu anda internete açık 5.400’den fazla PAN-OS VM-series güvenlik duvarı tespit etti. Bu cihazların çoğunluğu Asya (2.466) ve Kuzey Amerika’da (1.998) bulunuyor. Palo Alto Networks, açığın Cloud NGFW veya Panorama cihazlarını etkilemediğini belirtirken yamaların ilk olarak 13 Mayıs Çarşamba günü kullanıma sunulacağını duyurdu. Şirket, güvenlik güncellemeleri hazır olana kadar müşterilerine PAN-OS User-ID Kimlik Doğrulama Portalı’na erişimi yalnızca güvenilen bölgelerle kısıtlamalarını veya bu mümkün değilse portalı tamamen devre dışı bırakmalarını şiddetle tavsiye ediyor. PAN-OS User-ID Kimlik Doğrulama Portalı açığı nedeniyle yöneticiler, cihazlarının bu güvenlik açığına maruz kalıp kalmadığını User-ID Authentication Portal Settings sayfasından hızlıca kontrol edebilir.

CVE-2026-0300 saldırıları, tehdit gruplarının genellikle uç noktaları koruyan güvenlik yazılımlarından yoksun olan ağ uç cihazlarını (güvenlik duvarları, hipervizörler, yönlendiriciler ve VPN yazılımları) hedef alma eğiliminin bir parçası olarak değerlendiriliyor. Şubat ayında CISA, artık üreticilerden güvenlik güncellemesi almayan ağ uç cihazlarının federal kurumlardan kaldırılmasını zorunlu kılan Bağlayıcı Operasyonel Direktif 26-02’yi yayınlamıştı.