Palo Alto Networks устраняет критическую уязвимость в PAN-OS

Palo Alto Networks в среду выпустила уведомление о безопасности, в котором сообщается, что она устранила уязвимость обхода аутентификации высокой степени серьезности в своем программном обеспечении PAN-OS.

Для тех, кто не в курсе, PAN-OS — это программное обеспечение, которое управляет всеми следующими поколениями брандмауэров (NGFW) и защитными устройствами Palo Alto Networks.

Оно предназначено для обеспечения продвинутой сетевой безопасности, предотвращения угроз и управления трафиком для предприятий, поставщиков услуг и государственных организаций.

Уязвимость высокой степени серьезности, идентифицированная как CVE-2025-0108 (оценка CVSS: 7.8), возникает из-за проблемы обработки путей Nginx/Apache в PAN-OS.

Если уязвимость будет успешно использована, это может позволить злоумышленнику обойти аутентификацию веб-интерфейса управления PAN-OS и вызвать определенные PHP-скрипты, потенциально получив доступ к конфиденциальным данным системы или используя основные уязвимости.

«Обход аутентификации в программном обеспечении PAN-OS от Palo Alto Networks позволяет неаутентифицированному злоумышленнику с доступом к сети к веб-интерфейсу управления обойти аутентификацию, которая в противном случае требуется веб-интерфейсом управления PAN-OS, и вызвать определенные PHP-скрипты», — написала Palo Alto Networks в уведомлении, опубликованном в среду.

«Хотя вызов этих PHP-скриптов не позволяет выполнять удаленный код, это может негативно сказаться на целостности и конфиденциальности PAN-OS.»

Данная уязвимость затрагивает несколько версий PAN-OS, а именно:

• PAN-OS 11.2 < 11.2.4-h4 (устранена в 11.2.4-h4 или более поздних версиях)

• PAN-OS 11.1 < 11.1.6-h1 (устранена в 11.1.6-h1 или более поздних версиях)

• PAN-OS 10.2 < 10.2.13-h3 (устранена в 10.2.13-h3 или более поздних версиях)

• PAN-OS 10.1 < 10.1.14-h9 (устранена в 10.1.14-h9 или более поздних версиях)

Кроме того, версии PAN-OS: PAN-OS 10.1 >= 10.1.14-h9, PAN-OS 10.2 >= 10.2.13-h3, PAN-OS 11.1 >= 11.1.6-h1 и PAN-OS 11.2 >= 11.2.4-h4 не подвержены данной уязвимости. Она также не затрагивает программное обеспечение Cloud NGFW и Prisma Access.

Компания призвала всех своих затронутых клиентов немедленно установить последний патч для PAN-OS.

Она также рекомендовала пользователям просмотреть журналы брандмауэра на предмет подозрительной активности, связанной с уязвимостью, следовать лучшим практикам Palo Alto Networks по обеспечению безопасности сетевых сред и заниматься мониторингом разведки угроз, чтобы оставаться в курсе новых рисков.

Уязвимость CVE-2025-0108 была обнаружена Адамом Кюсом, исследователем безопасности в Assetnote, который является частью Searchlight Cyber, который сообщил об этом Palo Alto.

Исследователи Assetnote столкнулись с этой уязвимостью, анализируя патчи для предыдущих уязвимостей PAN-OS — CVE-2024-0012 и CVE-2024-9474 — которые были использованы в дикой природе.

«Наше исследование показывает, что хотя недавние патчи Palo Alto Networks устранили известные уязвимости, основная архитектура PAN-OS содержит дополнительные уязвимости безопасности в рамках того же класса уязвимостей», — сказал Шубхам (Шубс) Шах, технический директор и соучредитель Assetnote.

«Это подчеркивает критическую необходимость для поставщиков учитывать целостные обзоры архитектуры безопасности при устранении инцидентов безопасности.»

Согласно Palo Networks, нет никаких признаков злонамеренной эксплуатации уязвимости CVE-2025-0108 в дикой природе.

Хотя она считает уязвимость «высокой степени серьезности», уровень срочности, присвоенный ей поставщиком, является «умеренным».