Hackerii lansează atacuri împotriva firewalurilor Palo Alto Networks PAN-OS prin exploatarea unei vulnerabilități recent remediate (CVE-2025-0108) care permite ocolirea autentificării.
Problema de securitate a primit un scor de severitate ridicat și afectează interfața web de management PAN-OS, permițând unui atacator neautentificat în rețea să ocolească autentificarea și să invoce anumite scripturi PHP, compromițând potențial integritatea și confidențialitatea.
Într-un buletin de securitate din 12 februarie, Palo Alto Networks îndeamnă administratorii să-și actualizeze firewalurile la versiunile de mai jos pentru a remedia problema:
PAN-OS 11.0 este, de asemenea, afectat, dar produsul a ajuns la sfârșitul ciclului de viață (EoL) și Palo Alto Networks nu are planuri de a lansa remedieri pentru acesta. Din acest motiv, utilizatorilor li se recomandă cu tărie să efectueze o actualizare la o versiune suportată în schimb.
Vulnerabilitatea a fost descoperită și raportată către Palo Alto Networks de către cercetătorii de securitate de la Assetnote. Aceștia au publicat, de asemenea, un raport detaliat cu privire la exploatarea completă atunci când a fost lansat patch-ul.
Cercetătorii au demonstrat cum defectul ar putea fi exploatat pentru a extrage date sensibile de sistem, a recupera configurațiile firewall-ului sau a manipula potențial anumite setări din PAN-OS.
Exploatarea profită de o confuzie a căii între Nginx și Apache în PAN-OS, care permite ocolirea autentificării.
Atacatorii cu acces la interfața de management a rețelei pot folosi aceasta pentru a aduna informații pentru atacuri ulterioare sau pentru a slăbi apărarea prin modificarea setărilor accesibile.
Platforma de monitorizare a amenințărilor GreyNoise a înregistrat încercări de exploatare care vizează firewalurile PAN-OS neactualizate.
Atacurile au început pe 13 februarie, la 17:00 UTC, și par să provină de la mai multe adrese IP, indicând potențial eforturi de exploatare din partea actorilor de amenințări distincți.
În ceea ce privește expunerea dispozitivelor vulnerabile online, cercetătorul de la Macnica, Yutaka Sejiyama, a declarat pentru BleepingComputer că există în prezent peste 4.400 de dispozitive PAN-OS care își expun interfața de management online.
Pentru a vă apăra împotriva activității de exploatare în curs, care, având în vedere că PoC-ul este public, este foarte probabil să culmineze în zilele următoare, se recomandă aplicarea patch-urilor disponibile și restricționarea accesului la interfețele de management ale firewall-ului.
Leave a Reply