Los atacantes explotan activamente un Bypass de autenticación Encontrado en el software Pan-OS Palo Alto Networks que permite que un atacante autenticado se autentique la autentica en contacto con esta interfaz e invoque ciertos scripts de PHP.
La Agencia de Infraestructura y Seguridad de Ciberseguridad (CISA) e investigadores de seguridad advierten que advierten la actividad de los atacantes que exploten el defecto, seguido bajo el nombre de CVE-2025-0108 y revelaron por primera vez en un artículo de blog el 12 de febrero. Como un defecto de día cero por investigadores de cibernética activo. PAN-OS es el sistema operativo para dispositivos Palo Alto Firewall; La falla afecta a ciertas versiones de PAN-OS V11.2, V11.1, V10.2 y V10.1 y se ha corregido para todas las versiones afectadas.
La información de corrección de Palo Alto está disponible aviso de seguridad En CVE-2025-0108, que se evalúa en 8.8 y, por lo tanto, de alta gravedad en el CVSS. La compañía advirtió que si los scripts PHP que se pueden invocar no permiten la ejecución del código remoto, la explotación del defecto “puede tener un impacto negativo en la integridad y confidencialidad de PAN-OS” para lograr otros objetivos.
De hecho, los investigadores observaron que los atacantes se intentaron explotarse al encadenar CVE-2025-0108 con otros dos defectos en la interfaz de administración web de PAN-OS- CVE-2024-9474La falta de escalar el privilegio y CVE-2025-0111, una vulnerabilidad de la lectura de archivos autenticados en las partes no corregidas y no garantizadas.
Explotación activa de firewalls de Palo Alto
Los actores de amenaza aparentemente han obtenido memorando sobre el potencial operativo, ya que los ataques a los dispositivos afectados están aumentando. A partir del 18 de febrero, 25 IP maliciosa explotó activamente el CVE-2025-0108, contra solo dos el día después de su descubrimiento público, según investigadores de Greynoise. Los tres países principales en estos ataques son los Estados Unidos, Alemania y los Países Bajos, Según un artículo de blog en la granja.
“Las organizaciones basadas en los firewalls de PAN-OS deben suponer que los dispositivos desconocidos son atacados y toman medidas inmediatas para asegurarlos”, escribió Noah Stone, jefe de contenido en Greynoise Intelligence, en el puesto.
Mayor actividad para explotar el defecto obligó a la CISA Para agregarlo En Catálogo de vulnerabilidades explotadas conocidas Esta semana e insta a las personas afectadas a aplicar las soluciones de Palo Alto para las versiones periféricas afectadas.
Por qué existe el CVE-2025-0108 en PAN-OS
El defecto existe debido a una arquitectura común presente en PAN-OS, “donde la autenticación se aplica a una capa proxy, pero la demanda se transmite a través de una segunda capa con un comportamiento diferente”, escribió Adam Kues, investigador de seguridad en la posición de Searchlight Cyber .
“Básicamente, estas arquitecturas conducen al contrabando de la cabeza y a la confusión del camino, lo que puede conducir a muchos errores punzantes”, explicó.
Más específicamente, una demanda web en la interfaz de administración PAN-OS se gestiona por tres componentes distintos: Nginx, Apache y la aplicación PHP en sí. Los investigadores señalaron que cuando la autenticación del solicitante se define a nivel de Nginx y sobre la base de los encabezados HTTP, la solicitud se retira en Apache, que puede tratar la ruta o encabezados de manera diferente a Nginx antes de finalmente enviar la solicitud a PHP.
“Si hay una diferencia entre lo que Nginx cree que se ve nuestra solicitud y cómo vemos nuestra solicitud, podríamos hacer una derivación de la autenticación”, dijo Kues.
El riesgo de operar es el más alto si una configuración de red permite el acceso a la interfaz de administración desde Internet (o cualquier red poco confiable), ya sea directamente o a través de una interfaz DataPlan que incluye una interfaz de administración de perfil, señaló Palo Alto en su opinión.
Eliminar los riesgos sin pasar por alto correctamente a las autoridades ahora
Los dispositivos de red de Palo Alto son ampliamente utilizado y las fallas en ellas son a menudo meterse en Por atacantes, lo que hace que sea imperativo que la atenuación para CVE-2025-0108 ocurra lo antes posible. La mejor manera de eliminar por completo el riesgo de explotación es aplicar las actualizaciones de Palo Alto a los dispositivos afectados, según CISA e investigadores.
Las organizaciones asignadas también pueden reducir este riesgo si los administradores de la red garantizan que solo las direcciones IP de confianza interna pueden acceder a la interfaz de gestión, según Palo Alto. Los defensores pueden descubrir activos que requieren acciones de corrección visitando el Sección activa El portal de atención al cliente, dijo la compañía.
Palo Alto también recomienda que las organizaciones de listado de IPS en la interfaz de gestión para evitar vulnerabilidades o vulnerabilidades similares se operarán en Internet.