Palo Alto NetworksがPAN-OSの重大な脆弱性を修正

Palo Alto Networksは水曜日に、PAN-OSソフトウェアにおける高Severityの認証バイパス脆弱性に対処したとするセキュリティアドバイザリーを発表しました。

知らない方のために、PAN-OSはPalo Alto Networksの次世代ファイアウォール（NGFW）およびセキュリティアプライアンスを実行するソフトウェアです。

これは、企業、サービスプロバイダー、政府機関向けに高度なネットワークセキュリティ、脅威防止、トラフィック管理機能を提供するように設計されています。

高Severityの脆弱性はCVE-2025-0108（CVSSスコア：7.8）として特定され、PAN-OSにおけるNginx/Apacheによるパス処理の問題から生じています。

成功裏に悪用されると、攻撃者はPAN-OS管理ウェブインターフェースの認証をバイパスし、特定のPHPスクリプトを呼び出すことができ、機密システムデータにアクセスしたり、基盤となる脆弱性を悪用したりする可能性があります。

「Palo Alto NetworksのPAN-OSソフトウェアにおける認証バイパスは、管理ウェブインターフェースへのネットワークアクセスを持つ認証されていない攻撃者が、PAN-OS管理ウェブインターフェースによって通常要求される認証をバイパスし、特定のPHPスクリプトを呼び出すことを可能にします」とPalo Alto Networksは水曜日に発表したアドバイザリーに記載しています。

「これらのPHPスクリプトを呼び出すことはリモートコード実行を可能にするものではありませんが、PAN-OSの整合性と機密性に悪影響を及ぼす可能性があります。」

この欠陥は、以下の複数のPAN-OSバージョンに影響を与えます：

• PAN-OS 11.2 < 11.2.4-h4（11.2.4-h4以降で修正済み）

• PAN-OS 11.1 < 11.1.6-h1（11.1.6-h1以降で修正済み）

• PAN-OS 10.2 < 10.2.13-h3（10.2.13-h3以降で修正済み）

• PAN-OS 10.1 < 10.1.14-h9（10.1.14-h9以降で修正済み）

さらに、PAN-OSバージョン：PAN-OS 10.1 >= 10.1.14-h9、PAN-OS 10.2 >= 10.2.13-h3、PAN-OS 11.1 >= 11.1.6-h1、PAN-OS 11.2 >= 11.2.4-h4は、この脆弱性の影響を受けません。また、Cloud NGFWおよびPrisma Accessソフトウェアにも影響を与えません。

同社は、影響を受けたすべての顧客に対し、PAN-OSの最新パッチを直ちに適用するよう促しています。

また、ユーザーには脆弱性に関連する疑わしい活動のためにファイアウォールログを確認し、ネットワーク環境を保護するためのPalo Alto Networksのベストプラクティスに従い、新たなリスクに関する情報を得るために脅威インテリジェンスの監視を行うようアドバイスしています。

CVE-2025-0108脆弱性は、Searchlight Cyberの一部であるAssetnoteのセキュリティ研究者Adam Kuesによって発見され、Palo Altoに報告されました。

Assetnoteの研究者は、過去のPAN-OSの脆弱性—CVE-2024-0012およびCVE-2024-9474—のパッチを分析している際にこの欠陥に遭遇しました。

「私たちの研究は、Palo Alto Networksの最近のパッチが既知の脆弱性に対処した一方で、PAN-OSの基盤となるアーキテクチャには同じ脆弱性クラス内に追加のセキュリティ欠陥が含まれていることを明らかにしています」とAssetnoteのCTO兼共同創設者であるShubham（Shubs）Shahは述べています。

「これは、ベンダーがセキュリティインシデントに対処する際に包括的なセキュリティアーキテクチャレビューを考慮する必要があることを強調しています。」

Palo Networksによれば、CVE-2025-0108脆弱性の悪用の兆候はありません。

同社はこの脆弱性を「高Severity」と見なしていますが、ベンダーによって割り当てられた緊急度評価は「中程度」です。