CISA segnala vulnerabilità di Palo Alto e SonicWall come sfruttate

L’Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) ha aggiunto martedì due vulnerabilità di sicurezza che interessano i prodotti di Palo Alto Networks e SonicWall al suo catalogo delle Vulnerabilità Sfruttate Conosciute (KEV), avvertendo le organizzazioni di sfruttamenti attivi da parte di attori malintenzionati.

Le due vulnerabilità menzionate di seguito, basate su prove di sfruttamento attivo, sono vettori di attacco frequenti per attori informatici malintenzionati, ponendo rischi significativi per le organizzazioni. Queste sono:

• CVE-2025-0108 (punteggio CVSS: 7.8) – Vulnerabilità di Bypass dell’Autenticazione di Palo Alto PAN-OS: Questa vulnerabilità colpisce il PAN-OS di Palo Alto Networks, il software che gira sui suoi firewall di nuova generazione. La vulnerabilità consente a un attaccante non autenticato di bypassare i meccanismi di autenticazione e ottenere accesso non autorizzato alle risorse di rete. Sfruttare questa vulnerabilità potrebbe consentire agli attori delle minacce di infiltrarsi in sistemi sensibili, esfiltrare dati o distribuire ulteriori exploit all’interno di una rete compromessa.
• CVE-2024-53704 (punteggio CVSS: 8.2) – Vulnerabilità di Autenticazione Impropria di SonicWall SonicOS SSLVPN: Questa vulnerabilità esiste nella funzione SSLVPN di SonicWall, utilizzata per l’accesso remoto sicuro. Gli attaccanti possono sfruttare questa vulnerabilità per bypassare le procedure di autenticazione, concedendo accesso non autorizzato a reti protette da VPN. Questo consente agli attaccanti di intercettare messaggi, rubare accesso a risorse interne e condurre attacchi di escalation dei privilegi, che rappresentano una minaccia enorme per la sicurezza aziendale.

Palo Alto Networks ha confermato lo sfruttamento attivo della vulnerabilità CVE-2025-0108.

L’azienda osserva di aver registrato tentativi di sfruttamento con altre vulnerabilità, come CVE-2024-9474 e CVE-2025-0111.

“Palo Alto Networks ha osservato tentativi di sfruttamento che collegano CVE-2025-0108 con CVE-2024-9474 e CVE-2025-0111 su interfacce di gestione web PAN-OS non patchate e non sicure,” ha dichiarato l’azienda in un avviso aggiornato.

Secondo la società di cybersecurity GreyNoise, sono stati effettuati 26 tentativi di sfruttamento attivo fino ad oggi mirati alla vulnerabilità di bypass dell’autenticazione CVE-2025-0108. Questa vulnerabilità ha colpito i principali paesi: Stati Uniti, Francia, Germania, Paesi Bassi e Brasile.

D’altra parte, Bishop Fox ha recentemente rilasciato dettagli tecnici e un exploit di prova di concetto (PoC) per CVE-2024-53704, un bypass di autenticazione ad alta gravità in SonicOS SSLVPN. Poco dopo che il PoC è stato reso pubblico, Arctic Wolf ha rilevato tentativi di sfruttamento in natura.

In risposta allo sfruttamento attivo di queste vulnerabilità, la CISA ha ordinato a tutte le agenzie del Federal Civilian Executive Branch (FCEB), secondo la Direttiva Operativa Vincolante (BOD) 22-01 di novembre 2021, di applicare le patch entro l’11 marzo 2025, per mitigare le vulnerabilità identificate e proteggere le loro reti contro potenziali minacce.

Palo Alto Networks e SonicWall, due dei principali colossi della sicurezza di rete, hanno rilasciato aggiornamenti e avvisi di sicurezza per gli utenti interessati.

Le organizzazioni che utilizzano questi prodotti dovrebbero assicurarsi di eseguire il firmware più recente e seguire le migliori pratiche di cybersecurity, inclusa la sorveglianza per attività di rete insolite, la restrizione dell’accesso a fonti fidate e l’implementazione di strategie di difesa multilivello.