Palo Alto Networks Risolve una Vulnerabilità Critica in PAN-OS

Palo Alto Networks mercoledì ha emesso un avviso di sicurezza dichiarando di aver affrontato una vulnerabilità di bypass dell’autenticazione ad alta gravità nel suo software PAN-OS.

Per chi non lo sapesse, PAN-OS è il software che gestisce tutti i firewall di nuova generazione (NGFW) e gli apparecchi di sicurezza di Palo Alto Networks.

È progettato per fornire sicurezza avanzata della rete, prevenzione delle minacce e capacità di gestione del traffico per aziende, fornitori di servizi e organizzazioni governative.

La vulnerabilità ad alta gravità, identificata come CVE-2025-0108 (punteggio CVSS: 7.8), deriva dal problema di elaborazione dei percorsi da parte di Nginx/Apache in PAN-OS.

Se sfruttata con successo, potrebbe consentire a un attaccante di bypassare l’autenticazione dell’interfaccia web di gestione di PAN-OS e invocare specifici script PHP, potenzialmente guadagnando accesso a dati sensibili del sistema o sfruttando vulnerabilità sottostanti.

“Un bypass dell’autenticazione nel software PAN-OS di Palo Alto Networks consente a un attaccante non autenticato con accesso alla rete all’interfaccia web di gestione di bypassare l’autenticazione altrimenti richiesta dall’interfaccia web di gestione di PAN-OS e invocare determinati script PHP,” ha scritto Palo Alto Networks nell’avviso pubblicato mercoledì.

“Anche se l’invocazione di questi script PHP non consente l’esecuzione di codice remoto, può avere un impatto negativo sull’integrità e sulla riservatezza di PAN-OS.”

Il difetto colpisce più versioni di PAN-OS, che sono le seguenti:

• PAN-OS 11.2 < 11.2.4-h4 (risolto in 11.2.4-h4 o successivo)

• PAN-OS 11.1 < 11.1.6-h1 (risolto in 11.1.6-h1 o successivo)

• PAN-OS 10.2 < 10.2.13-h3 (risolto in 10.2.13-h3 o successivo)

• PAN-OS 10.1 < 10.1.14-h9 (risolto in 10.1.14-h9 o successivo)

Inoltre, le versioni di PAN-OS: PAN-OS 10.1 >= 10.1.14-h9, PAN-OS 10.2 >= 10.2.13-h3, PAN-OS 11.1 >= 11.1.6-h1 e PAN-OS 11.2 >= 11.2.4-h4, rimangono immuni dalla vulnerabilità. Non colpisce nemmeno il software Cloud NGFW e Prisma Access.

L’azienda ha esortato tutti i suoi clienti interessati ad applicare immediatamente l’ultima patch per PAN-OS.

Ha anche consigliato agli utenti di esaminare i registri del firewall per eventuali attività sospette relative alla vulnerabilità, seguire le migliori pratiche di Palo Alto Networks per la sicurezza degli ambienti di rete e impegnarsi nel monitoraggio delle minacce per rimanere aggiornati sui rischi emergenti.

La vulnerabilità CVE-2025-0108 è stata scoperta da Adam Kues, un ricercatore di sicurezza di Assetnote, che fa parte di Searchlight Cyber, che l’ha segnalata a Palo Alto.

I ricercatori di Assetnote hanno incontrato questo difetto mentre analizzavano le patch per difetti precedenti di PAN-OS — CVE-2024-0012 e CVE-2024-9474 — che erano stati sfruttati in natura.

“La nostra ricerca rivela che mentre le recenti patch di Palo Alto Networks hanno affrontato le vulnerabilità note, l’architettura sottostante di PAN-OS contiene ulteriori difetti di sicurezza all’interno della stessa classe di vulnerabilità,” ha dichiarato Shubham (Shubs) Shah, CTO e co-fondatore di Assetnote.

“Questo evidenzia un bisogno critico per i fornitori di considerare revisioni dell’architettura di sicurezza olistiche quando affrontano incidenti di sicurezza.”

Secondo Palo Networks, non ci sono indicazioni di sfruttamento malevolo della vulnerabilità CVE-2025-0108 in natura.

Sebbene consideri la vulnerabilità come ‘alta gravità’, il punteggio di urgenza assegnato dal fornitore è ‘moderato’.