Aktívne zneužívaná zraniteľnosť v operačnom systéme Palo Alto PAN-OS

February 20, 2025

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie pre svoj sieťový operačný systém PAN-OS, ktoré opravujú 4 zraniteľnosti, z ktorých 1 je označená ako aktívne zneužívaná. Zraniteľnosti nachádzajúce sa vo webovom manažmentovom rozhraní a plugine OpenConfig možno zneužiť na injekciu príkazov, získanie neoprávneného prístupu k citlivým údajom a vykonanie neoprávnených zmien v systéme. CVE-2025-0108 je podľa spoločnosti GreyNoise v súčasnosti aktívne zneužívaná útočníkmi.

[Aktualizované 20.02.2025]

Zraniteľné systémy:

PAN-OS 11.2 vo verziách starších ako 11.2.4-h4
PAN-OS 11.1 vo verziách starších ako 11.1.6-h1
PAN-OS 10.2 vo verziách starších ako 10.2.13-h3
PAN-OS 10.1 vo verziách starších ako 10.1.14-h9
PAN-OS OpenConfig Plugin vo verziách starších ako 2.1.2

Pozn.: Cloud NGFW a Prisma Access nie sú zraniteľné.

Opis zraniteľnosti:

CVE-2025-0108 (CVSS skóre 7,8)

Zraniteľnosť s identifikátorom CVE-2025-0108 spočíva v nesúlade spracovania prichádzajúcich požiadaviek v rámci komponentov nginx a Apache. Vzdialený neautentifikovaný útočník s prístupom k webovému manažmentovému rozhraniu by ju mohol zneužiť na obídenie mechanizmov autentifikácie a spustenie vybraných PHP skriptov vedúcich k narušeniu dôvernosti a integrity systému. V prípadoch, keď je prístup k manažmentovému rozhraniu limitovaný len na jump boxy, je zraniteľnosť hodnotená ako stredne závažná.

Pozn.: Na základe informácií od spoločnosti GreyNoise je zraniteľnosť v súčasnosti aktívne zneužívaná.

CVE-2025-0110 (CVSS skóre 7,3)

Injekciu príkazov v plugine OpenConfig by vzdialený autentifikovaný útočník s oprávneniami administrátora zaslaním požiadaviek gNMI na webové manažmentové rozhranie PAN-OS mohol zneužiť na vzdialené spustenie príkazov. Príkazy sú spúšťané v kontexte používateľa „__opencnfig“, ktorý funguje ako správca zariadenia.

Pozn.: Zraniteľnosť je možné zneužiť len na PAN-OS, na ktorých je predmetný plugin aktivovaný.

CVE-2025-0109 (CVSS skóre 5,5)

Zraniteľnosť sa nachádza vo webovom manažmentovom rozhraní a umožňuje mazanie určitých súborov. Zneužitie zraniteľnosti nevyžaduje autentifikáciu a umožňuje útočníkovi so sieťovým prístupom ku zraniteľnému zariadeniu cez používateľa „nobody“ zmazanie niektorých logov a konfiguračných súborov, pričom nie je možné zmazať systémové súbory.

CVE-2025-0111 (CVSS skóre 4,9)

Zraniteľnosť strednej závažnosti by vzdialený autentifikovaný útočník so sieťovým prístupom ku zraniteľnému zariadeniu mohol zneužiť na čítanie obsahu súborov prístupných pre používateľa „nobody“, a teda získanie neoprávneného prístupu k citlivým údajom.

[Aktualizácia 20.2.2025]: Spoločnosť Palo Alto Networks upozornila na aktívne zneužívanie zraniteľnosti CVE-2025-0111. Zraniteľnosť je zneužívaná súčasne so zraniteľnosťami CVE-2025-0108 a CVE-2024-9474 a ich vzájomné zreťazenie umožňuje získanie úplnej kontroly nad zariadeniami (root prístup). Spoločnosť GreyNoise eviduje podstatný nárast pokusov o zneužitie týchto zraniteľností.

Možné škody:

Injekcia príkazov
Neoprávnená zmena v systéme
Neoprávnený prístup k citlivým údajom

Odporúčania:

Spoločnosť Palo Alto odporúča používať len produkty s platnou technickou podporou a bezodkladne aktualizovať zasiahnuté systémy aspoň na verziu:

PAN-OS 11.2.4-h4
PAN-OS 11.1.6-h1
PAN-OS 10.2.13-h3
PAN-OS 10.1.14-h9
PAN-OS OpenConfig Plugin 2.1.2

Výrobca taktiež odporúča obmedziť prístup k webovému rozhraniu len na dôveryhodné IP adresy a dodržiavať postupy best practice pre prevádzku a zabezpečenie PAN-OS, ktoré môžete nájsť online.

Zdroje: