Palo Alto Networks behebt kritische Schwachstelle in PAN-OS

Palo Alto Networks gab am Mittwoch eine Sicherheitswarnung heraus, in der erklärt wird, dass eine schwerwiegende Authentifizierungsumgehungsschwachstelle in seiner PAN-OS-Software behoben wurde.

Für diejenigen, die es nicht wissen, PAN-OS ist die Software, die alle Next-Generation-Firewalls (NGFWs) und Sicherheitsgeräte von Palo Alto Networks betreibt.

Sie wurde entwickelt, um fortschrittliche Netzwerksicherheit, Bedrohungsprävention und Verkehrsmanagementfähigkeiten für Unternehmen, Dienstanbieter und Regierungsorganisationen bereitzustellen.

Die schwerwiegende Schwachstelle, die als CVE-2025-0108 identifiziert wurde (CVSS-Score: 7.8), resultiert aus dem Problem der Pfadverarbeitung durch Nginx/Apache in PAN-OS.

Wenn sie erfolgreich ausgenutzt wird, könnte ein Angreifer die Authentifizierung der PAN-OS-Management-Weboberfläche umgehen und bestimmte PHP-Skripte aufrufen, wodurch er möglicherweise Zugriff auf sensible Systemdaten erhält oder zugrunde liegende Schwachstellen ausnutzt.

„Eine Authentifizierungsumgehung in der PAN-OS-Software von Palo Alto Networks ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugang zur Management-Weboberfläche, die ansonsten von der PAN-OS-Management-Weboberfläche erforderliche Authentifizierung zu umgehen und bestimmte PHP-Skripte aufzurufen“, schrieb Palo Alto Networks in der am Mittwoch veröffentlichten Warnung.

„Obwohl das Aufrufen dieser PHP-Skripte keine Remote-Code-Ausführung ermöglicht, kann es die Integrität und Vertraulichkeit von PAN-OS negativ beeinflussen.“

Der Fehler betrifft mehrere Versionen von PAN-OS, die wie folgt sind:

• PAN-OS 11.2 < 11.2.4-h4 (behoben in 11.2.4-h4 oder später)

• PAN-OS 11.1 < 11.1.6-h1 (behoben in 11.1.6-h1 oder später)

• PAN-OS 10.2 < 10.2.13-h3 (behoben in 10.2.13-h3 oder später)

• PAN-OS 10.1 < 10.1.14-h9 (behoben in 10.1.14-h9 oder später)

Darüber hinaus bleiben die PAN-OS-Versionen: PAN-OS 10.1 >= 10.1.14-h9, PAN-OS 10.2 >= 10.2.13-h3, PAN-OS 11.1 >= 11.1.6-h1 und PAN-OS 11.2 >= 11.2.4-h4 von der Schwachstelle unberührt. Es betrifft auch nicht die Cloud NGFW und Prisma Access-Software.

Das Unternehmen hat alle betroffenen Kunden aufgefordert, den neuesten Patch für PAN-OS umgehend anzuwenden.

Es hat auch empfohlen, die Firewall-Protokolle auf verdächtige Aktivitäten im Zusammenhang mit der Schwachstelle zu überprüfen, die besten Praktiken von Palo Alto Networks zur Sicherung von Netzwerkumgebungen zu befolgen und sich an Bedrohungsintelligenzüberwachung zu beteiligen, um über aufkommende Risiken informiert zu bleiben.

Die CVE-2025-0108-Schwachstelle wurde von Adam Kues, einem Sicherheitsforscher bei Assetnote, das Teil von Searchlight Cyber ist, entdeckt, der sie an Palo Alto meldete.

Die Forscher von Assetnote stießen auf diesen Fehler, während sie die Patches für frühere PAN-OS-Schwachstellen — CVE-2024-0012 und CVE-2024-9474 — analysierten, die in der Wildnis ausgenutzt wurden.

„Unsere Forschung zeigt, dass, während die jüngsten Patches von Palo Alto Networks die bekannten Schwachstellen behoben haben, die zugrunde liegende Architektur von PAN-OS zusätzliche Sicherheitsfehler innerhalb derselben Schwachstellenklasse enthält“, sagte Shubham (Shubs) Shah, CTO und Mitbegründer von Assetnote.

„Dies hebt den kritischen Bedarf hervor, dass Anbieter ganzheitliche Sicherheitsarchitekturüberprüfungen in Betracht ziehen, wenn sie Sicherheitsvorfälle angehen.“

Laut Palo Networks gibt es keine Hinweise auf eine böswillige Ausnutzung der CVE-2025-0108-Schwachstelle in der Wildnis.

Während die Schwachstelle als „hohe Schwere“ betrachtet wird, ist die Dringlichkeitsbewertung, die vom Anbieter zugewiesen wurde, „moderat.“