Palo Alto Networks, 13 Açıklık İçeren Pakette Kritik PAN-OS CVE-2026-0288 Zafiyetini Yamaladı

Palo Alto Networks, PAN-OS ve Prisma Access'te 13 güvenlik açığını duyurdu. Listenin başındaki CVE-2026-0288, User-ID Terminal Server Agent'taki kimlik doğrulaması gerektirmeyen bir arabellek taşması zinciriyle saldırganlara yeni nesil güvenlik duvarlarında uzaktan kod çalıştırma imkânı veriyor.

Key Takeaways

  • Palo Alto Networks disclosed 13 vulnerabilities across PAN-OS and Prisma Access, led by CVE-2026-0288, a CVSS-B 9.2 buffer-overflow chain in the User-ID Terminal Server Agent enabling unauthenticated remote code execution.
  • CVE-2026-0288 affects PAN-OS 12.1, 11.2, 11.1 and 10.2 branches before their fixed builds; Prisma Access 11.2.0 and 10.2.0 carry a medium-severity variant, while Panorama and Cloud NGFW on AWS are unaffected.
  • The batch also fixes seven medium and five low-severity bugs, including Prisma Access Agent flaws allowing VPN traffic man-in-the-middle interception and DLP bypass, plus root command execution paths for authenticated admins.
  • No active exploitation is known; interim mitigation is restricting TSA connectivity to trusted internal IPs, which lowers CVSS-B from 9.2 to 7.7 but does not remove the flaw.
  • Prisma Access customers get patched at their next scheduled maintenance window, with on-demand upgrades available via support; researcher Liang Zhu privately disclosed the flagship bug.

Palo Alto Networks, 13 Açıklık İçeren Pakette Kritik PAN-OS CVE-2026-0288 Zafiyetini Yamaladı

Palo Alto Networks, Perşembe günü yayımladığı güvenlik bültenlerinde PAN-OS ve Prisma Access genelinde 13 güvenlik açığını duyurdu. Listenin başında, User-ID Terminal Server Agent (TSA) bileşenindeki yüksek önem derecesine ve en yüksek aciliyet düzeyine sahip bir arabellek taşması zinciri olan CVE-2026-0288 yer alıyor; açık, kimliği doğrulanmamış bir saldırgana şirketin yeni nesil güvenlik duvarları üzerinde uzaktan kod çalıştırma imkânı verebiliyor. Şirket aktif bir istismardan haberdar olmadığını belirtse de 9,2'lik CVSS-B puanı ve yalnızca ağ üzerinden gerçekleştirilebilen saldırı yolu, yamayı her güvenlik duvarı yöneticisinin Cuma gündeminin en üstüne taşıyor.

CVE-2026-0288'in Ayrıntıları

Zafiyet, PAN-OS'un User-ID TSA bileşenindeki birden fazla arabellek taşmasından kaynaklanıyor. Yapılandırılmış TSA IP adresine ve portuna ağ erişimi olan saldırganlar — kimlik bilgisi veya kullanıcı etkileşimi gerekmeden — kötü biçimlendirilmiş bir paket göndererek belleği bozabiliyor, hizmet dışı bırakma (DoS) çökmesi tetikleyebiliyor ya da en kötü senaryoda uzaktan kod çalıştırabiliyor. Etkilenen sürüm hatları arasında 12.1.4-h8/12.1.7-h2/12.1.8 öncesi PAN-OS 12.1, 11.2.4-h20/11.2.7-h18/11.2.10-h12/11.2.13 öncesi 11.2, 11.1.4-h35 ile 11.1.16 arası öncesi 11.1 ve 10.2.7-h36/10.2.18-h8 öncesi tüm 10.2 derlemeleri bulunuyor. Prisma Access 11.2.0 ve 10.2.0 sürümlerinde ise orta önem derecesinde bir varyant mevcut. Panorama ve AWS üzerindeki Cloud NGFW etkilenmiyor.

On İki Düzeltme Daha: VPN Trafiğinin Ele Geçirilmesi, Root Yetkisiyle Komut Çalıştırma

Yama paketi ayrıca yedi orta önem derecesinde PAN-OS açığını ve beş düşük önem derecesinde zafiyeti gideriyor. Orta seviyedeki açıklardan ikisi Prisma Access Agent'ta bulunuyor ve saldırganların VPN trafiğine yönelik ortadaki adam (man-in-the-middle) saldırıları düzenlemesine ve veri kaybı önleme (DLP) politikalarını atlatmasına olanak tanıyor — uzaktan çalışan iş gücünü güvence altına almak için Prisma Access'e yaslanan kuruluşlar açısından bu paketin sessiz tehlikesi de bu. Diğer orta önem dereceli sorunlar, kimliği doğrulanmış yöneticilerin root yetkisiyle işletim sistemi komutları çalıştırmasına, güvenlik duvarından iç servislere yetkisiz istekler göndermesine veya kimlik doğrulamayı atlatmasına izin veriyor; bunlar, yönetici erişimini halihazırda elde etmiş bir saldırganın tavanını yükselten yetki yükseltme yolları.

Palo Alto Networks, 8 Temmuz 2026'da 13 PAN-OS güvenlik açığını yamalıyor

Önlemler ve Prisma Access Takvimi

Palo Alto Networks, CVE-2026-0288 bülteninde listelenen düzeltilmiş sürümlerle birlikte etkilenen tüm dallarda acil güncelleme yapılmasını öneriyor. Geçici bir önlem olarak yöneticilerin, üreticinin en iyi uygulama dağıtım kılavuzuna uygun şekilde TSA bağlantısını güvenilir iç IP adresleriyle sınırlaması gerekiyor — bu önlem CVSS-B puanını 9,2'den 7,7'ye düşürüyor ancak altta yatan hatayı ortadan kaldırmıyor. Prisma Access müşterileri bir sonraki planlı bakım pencerelerinde güncellenecek; yamayı hızlandırmak isteyenler destek birimi üzerinden talep üzerine güncelleme isteyebiliyor. Zafiyetin özel bildiriminde güvenlik araştırmacısı Liang Zhu'ya teşekkür edildi.

Yapay Zekâ Çağının Tehdit Ortamıyla Örtüşen Bir Tablo

Palo Alto Networks'ün yama döngüsü, güvenlik firması Sysdig'in uçtan uca ilk yapay zekâ ajanı fidye yazılımı saldırısı JADEPUFFER'ı belgelediği haftaya ve AB Komisyonu'nun piyasa öncesi model testleri içeren ortak yapay zekâ ve siber güvenlik eylem planını açıklamasının ardından geldi. Saldırganların açıklamadan istismara geçiş süresini giderek kısaltmasıyla — Five Eyes'ın bu yılın başında yaptığı bir uyarı — kimlik doğrulaması gerektirmeyen ve ağ üzerinden erişilebilen her güvenlik duvarı açığı, yöneticilerin fırsatçı taramalar başlamadan önce yama uygulamak için sahip olduğu zaman aralığını daraltıyor.

Bu haber Cyber Security News, SQ Magazine, SecurityWeek, HKCERT ve Palo Alto Networks güvenlik bülteninden derlenen bilgilere dayanmaktadır.

Category: Cyber Security

Tags: Security Cybersecurity CVE

Related Articles

Frequently Asked Questions

What is CVE-2026-0288 and how dangerous is it?

CVE-2026-0288 is a set of buffer overflows in the User-ID Terminal Server Agent of PAN-OS. An unauthenticated attacker with network access to the configured TSA IP and port can send a malformed packet to crash the firewall or achieve remote code execution. It carries a CVSS-B score of 9.2, though no active exploitation has been reported.

Which products and versions are affected?

Affected trains include PAN-OS 12.1 before 12.1.4-h8/12.1.7-h2/12.1.8, 11.2 before 11.2.4-h20/11.2.7-h18/11.2.10-h12/11.2.13, 11.1 before 11.1.4-h35 through 11.1.16, and all 10.2 builds before 10.2.7-h36/10.2.18-h8. Prisma Access 11.2.0 and 10.2.0 have a medium-severity variant. Panorama and Cloud NGFW on AWS are not affected.

What should admins do if they cannot patch immediately?

Palo Alto Networks recommends restricting TSA connectivity to trusted internal IP addresses per its best-practice deployment guide. This lowers the CVSS-B score from 9.2 to 7.7 but does not eliminate the underlying vulnerability, so upgrading to a fixed build remains essential.

What other flaws were fixed in the 13-bug batch?

Seven medium and five low-severity issues were patched, including two Prisma Access Agent bugs enabling man-in-the-middle interception of VPN traffic and data-loss-prevention bypass, plus flaws letting authenticated administrators run OS commands as root, send unauthorised requests to internal services, or bypass authentication.