Angribere udnytter sårbarhed i PAN-OS

Angribere er i gang med at udnytte en nyligt rettet sårbarhed i Palo Alto Networks' PAN-OS firewalls, der tillader omgåelse af autentificering. 

Det skriver Bleeping Computer.

Fejlen har id’et CVE-2025-0108 og en CVSS-score på 8,3. Den påvirker PAN-OS' administrationswebgrænseflade og giver uautoriserede angribere på netværket mulighed for at omgå autentificering og udføre bestemte PHP-scripts. Dette kan kompromittere systemets integritet og fortrolighed.  

I en sikkerhedsmeddelelse fra den 12. februar 2025 fra Palo Alto Networks opfordres administratorer til at opdatere deres firewalls til følgende versioner for at afhjælpe problemet:

• 11.2.4-h4 eller nyere
• 11.1.6-h1 eller nyere
• 10.2.13-h3 eller nyere
• 10.1.14-h9 eller nyere

Det bemærkes, at PAN-OS 11.0 også er påvirket af sårbarheden, men produktet har nået sin end-of-life (EoL), hvor der ikke planlægges rettelser til denne version fra Palo Alto Networks’ side. Brugere anbefales derfor at opgradere til en understøttet version. 

Angreb in-the-wild

Sårbarheden blev opdaget og rapporteret til Palo Alto Networks af sikkerhedsresearchere hos Assetnote. De har også offentliggjort en detaljeret gennemgang af, hvordan fejlen kan udnyttes til at udtrække følsomme systemdata, hente firewall-konfigurationer eller manipulere visse indstillinger inden for PAN-OS. Udnyttelsen drager fordel af en path-confusion mellem Nginx og Apache i PAN-OS. Dette muliggør omgåelse af autentificering.  

Det er overvågningsfirmaet GreyNoise, der har registreret forsøgene på udnyttelse rettet mod upatchede PAN-OS firewalls. Angrebene skal være begyndt den 13. februar kl. 17:00 UTC (dvs. London-tid) og ser ud til at stamme fra flere IP-adresser. Dette indikerer ifølge Bleeping Computer udnyttelsesforsøg fra forskellige trusselsaktører. 

Det anbefales, at man implementerer de tilgængelige patches straks og/eller begrænser adgangen til firewallens administrationsgrænseflader.