Güvenlik ekipleri genellikle yamaları önceliklendirmek için CVSS gibi ciddiyet puanlarına güveniyor, ancak Palo Alto Networks cihazlarına yapılan yakın tarihli bir saldırı, bu yaklaşımın neden felaketle sonuçlanabileceğini gösteriyor. Kasım 2024'te saldırganlar, kimlik doğrulamasını atlamak ve ayrıcalıkları yükseltmek için ardışık olarak CVE-2024-0012 ve CVE-2024-9474 adlı iki güvenlik açığından yararlanarak 13.000'den fazla maruz kalmış yönetim arayüzüne kök erişim elde etti. "Operation Lunar Peek" olarak adlandırılan saldırı, tehdit aktörlerinin güvenlik açıklarını sıralı olarak istismar etmeleri durumunda, görünüşte izole edilmiş kusurların nasıl yıkıcı bir etki yaratabileceğini gösterdi.
Saldırının Arkasındaki Güvenlik Açıkları
CVE-2024-0012, kimlik doğrulamasını atlama kusuru sayesinde saldırganların giriş gereksinimlerini tamamen bypass etmesine olanak tanıdı. CVE-2024-9474 ise ayrıcalıkları kök düzeyine yükselten bir sorundu. Bireysel olarak her iki güvenlik açığı da farklı puanlama sistemlerinde orta ila yüksek CVSS puanları aldı:
- CVSS v4.0: CVE-2024-0012 (9,3), CVE-2024-9474 (6,9)
- CVSS v3.1: CVE-2024-0012 (9,8), CVE-2024-9474 (7,2)
Özellikle CVE-2024-9474 için daha düşük puanlar birçok ekibin bunu önceliklendirmemesine neden oldu; çünkü ekiplerin varsaydığı gibi yönetici erişimi gerektirdiği düşünülüyordu—bu yanlış algıyı kimlik doğrulamasını atlama kusuru tamamen ortadan kaldırdı. "Düşmanlar, güvenlik açıklarını birbirine zincirleyerek ciddiyet puanlarını bypass ediyor," diye belirtti CrowdStrike'in Karşıt Düşman Operasyonları Kıdemli Başkan Yardımcısı Adam Meyers. "30 saniye önceki amnezilerini tamamen ortadan kaldırdılar."
Puanlama Sistemlerinin Tehdidi Nasıl Kaçırdığı
Saldırı, geleneksel güvenlik açığı triyajındaki kritik bir kusuru ortaya koyuyor: CVSS puanları riskleri izole bir şekilde değerlendirirken, gerçek dünya saldırıları nadiren bu şekilde hareket ediyor. Her iki CVE de CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları kataloğunda yer almasına rağmen, birlikte oluşturdukları bileşik riski hiçbir puan ortaya koymadı. Her güvenlik açığını ayrı ayrı değerlendiren ekipler, zincirleme saldırıyı fark edemedi—iş işten geçene kadar.
Paramount'un eski CISO'su olan Peter Chronis, bu sınırlamaya dair endişelerini sıkça dile getiriyor. "CVSS taban puanları, gerçek dünya bağlamını göz ardı eden teorik ciddiyet ölçüleridir," diye yazdı 2022 yılında yaptığı bir analizde. Onun liderliğinde Paramount, CVSS merkezli önceliklendirmeden uzaklaşarak, eyleme geçirilebilir kritik ve yüksek riskli güvenlik açıklarını %90 oranında azalttı. CVSS'i sürdüren FIRST adlı kuruluşun yönetici direktörü Chris Gibson da benzer şekilde, yalnızca CVSS taban puanlarına dayalı önceliklendirmenin "en uygun ve doğru olmayan yöntem" olduğunu vurguladı.
Güvenlik Açığı Yönetimindeki Daha Geniş Kriz
Palo Alto olayının izole bir vaka olmadığı kanıtlandı. 2025 yılında 48.185 yeni CVE açıklandı; bu sayı bir önceki yıla göre %20,6 artış anlamına geliyor. Cisco Tehdit Tespiti ve Müdahalesi baş mühendisi Jerry Gamblin, bu sayının 2026'da 70.135'e yükseleceğini öngörüyor. Güvenlik açığı puanlama altyapısı bu artışla başa çıkmakta zorlanıyor:
- NIST, 2020 yılından bu yana CVE başvurularında %263'lük bir artış bildirdi.
- Kurum artık yalnızca Bilinen İstismar Edilen Güvenlik Açıkları (KEV) ve federal kritik yazılımlar için zenginleştirmeye öncelik veriyor.
Bu gecikme kör noktalar yaratıyor. CVE'lerin hacmi karşısında bunalan ekipler genellikle yalnızca puanlara dayalı önceliklendirmeye yöneliyor; zincirleme güvenlik açıkları, silah haline getirilmiş yamalar veya uzun süre hareketsiz kalan istismarlar gibi incelikli tehditleri kaçırıyor.
Güvenlik Ekiplerinin Gözden Kaçırdığı Beş Sistemik Boşluk
- Güvenli görünen ancak öyle olmayan zincirleme CV'ler
Palo Alto ikilisi bu durumun ders kitabı örneği. CVE-2024-0012 kimlik doğrulamasını bypass ederken, CVE-2024-9474 ayrıcalıkları yükseltti. Ayrı ayrı hiçbiri acil eylem gerektirecek kadar ciddi görünmedi. Birlikteyse tam bir saldırı yolu oluşturdu.
- Açığın açıklanmasından günler içinde silah haline getirilen yamalar
CrowdStrike 2026 Küresel Tehdit Raporu'na göre, devlet destekli aktörler artık güvenlik açıklarını ortalama 29 dakika içinde sıfır gün olarak istismar ediyor—bazen yalnızca 27 saniyede. Çin bağlantılı grupların, yeni yamaların açıklanmasından iki ila altı gün içinde silah haline getirildiği gözlemlendi.
- Yıllarca stoklanan CV'ler
Operation Salt Typhoon
Yapay zeka özeti
Two seemingly manageable Palo Alto CVEs—when combined—enabled root access to 13,000 devices. Learn how scoring systems fail on chained threats and what security teams must do next.
