Palo Alto Networks corrige une vulnérabilité critique dans PAN-OS

Palo Alto Networks a publié mercredi un avis de sécurité indiquant qu’il a corrigé une vulnérabilité de contournement d’authentification de haute gravité dans son logiciel PAN-OS.

Pour ceux qui ne le savent pas, PAN-OS est un logiciel qui fait fonctionner tous les pare-feu de nouvelle génération (NGFW) et les appareils de sécurité de Palo Alto Networks.

Il est conçu pour fournir des capacités avancées de sécurité réseau, de prévention des menaces et de gestion du trafic pour les entreprises, les fournisseurs de services et les organisations gouvernementales.

La vulnérabilité de haute gravité, identifiée comme CVE-2025-0108 (score CVSS : 7.8), provient du problème de traitement des chemins par Nginx/Apache dans PAN-OS.

Si elle est exploitée avec succès, elle pourrait permettre à un attaquant de contourner l’authentification de l’interface web de gestion de PAN-OS et d’invoquer des scripts PHP spécifiques, pouvant potentiellement donner accès à des données sensibles du système ou exploiter des vulnérabilités sous-jacentes.

« Un contournement d’authentification dans le logiciel PAN-OS de Palo Alto Networks permet à un attaquant non authentifié ayant accès au réseau de l’interface web de gestion de contourner l’authentification normalement requise par l’interface web de gestion de PAN-OS et d’invoquer certains scripts PHP », a écrit Palo Alto Networks dans l’avis publié mercredi.

« Bien que l’invocation de ces scripts PHP ne permette pas l’exécution de code à distance, cela peut avoir un impact négatif sur l’intégrité et la confidentialité de PAN-OS. »

La faille affecte plusieurs versions de PAN-OS, qui sont les suivantes :

• PAN-OS 11.2 < 11.2.4-h4 (corrigé dans 11.2.4-h4 ou version ultérieure)

• PAN-OS 11.1 < 11.1.6-h1 (corrigé dans 11.1.6-h1 ou version ultérieure)

• PAN-OS 10.2 < 10.2.13-h3 (corrigé dans 10.2.13-h3 ou version ultérieure)

• PAN-OS 10.1 < 10.1.14-h9 (corrigé dans 10.1.14-h9 ou version ultérieure)

De plus, les versions de PAN-OS : PAN-OS 10.1 >= 10.1.14-h9, PAN-OS 10.2 >= 10.2.13-h3, PAN-OS 11.1 >= 11.1.6-h1 et PAN-OS 11.2 >= 11.2.4-h4, restent non affectées par la vulnérabilité. Elle n’affecte également pas le logiciel Cloud NGFW et Prisma Access.

L’entreprise a exhorté tous ses clients concernés à appliquer immédiatement le dernier correctif pour PAN-OS.

Elle a également conseillé aux utilisateurs de passer en revue les journaux de pare-feu pour toute activité suspecte liée à la vulnérabilité, de suivre les meilleures pratiques de Palo Alto Networks pour sécuriser les environnements réseau et de s’engager dans une surveillance des menaces pour rester informé des risques émergents.

La vulnérabilité CVE-2025-0108 a été découverte par Adam Kues, un chercheur en sécurité chez Assetnote, qui fait partie de Searchlight Cyber, qui l’a signalée à Palo Alto.

Les chercheurs d’Assetnote ont rencontré cette faille en analysant les correctifs pour les vulnérabilités précédentes de PAN-OS — CVE-2024-0012 et CVE-2024-9474 — qui ont été exploitées dans la nature.

« Notre recherche révèle que bien que les récents correctifs de Palo Alto Networks aient corrigé les vulnérabilités connues, l’architecture sous-jacente de PAN-OS contient des failles de sécurité supplémentaires au sein de la même classe de vulnérabilités », a déclaré Shubham (Shubs) Shah, CTO et co-fondateur d’Assetnote.

« Cela souligne un besoin critique pour les fournisseurs de considérer des examens d’architecture de sécurité holistiques lors du traitement des incidents de sécurité. »

Selon Palo Networks, il n’y a aucune indication d’une exploitation malveillante de la vulnérabilité CVE-2025-0108 dans la nature.

Bien qu’elle considère la vulnérabilité comme étant de ‘haute gravité’, la note d’urgence qui lui est attribuée par le fournisseur est ‘modérée’.