Компания Palo Alto Networks подтвердила, что злоумышленники активно используют уязвимость CVE-2025-0108, которую они исправили. Вместе с двумя другими ошибками хакеры могут обойти проверку подлинности и получить полный доступ к уязвимым системам.
Всё началось с уязвимости CVE-2024-9474 (оценка CVSS: 6.9) в PAN-OS, которая позволяла администраторам с доступом к веб-интерфейсу выполнять команды с правами администратора. Palo Alto Networks выпустила исправление для этой проблемы ещё в ноябре 2024 года. Однако специалисты Searchlight Cyber’s Assetnote обнаружили, что была новая проблема, связанная с обходом проверки подлинности.
Новая уязвимость, обозначенная как CVE-2025-0108 (оценка CVSS: 8.8), была исправлена в начале февраля 2025 года. Эксплойт позволяет злоумышленникам, имеющим доступ к сетевому интерфейсу, обойти проверку подлинности и вызывать определённые PHP-скрипты, что может привести к нарушению целостности и конфиденциальности системы.
Дополнительную опасность представляет уязвимость CVE-2025-0111 (оценка CVSS: 7.1), которая также была исправлена в тот же день. Эта ошибка позволяет злоумышленнику, который прошёл проверку подлинности, считывать файлы, доступные пользователю nobody. Хотя эта уязвимость сама по себе не так опасна, но в сочетании с другими уязвимостями может стать серьезной проблемой.
Palo Alto Networks обновила рекомендации по уязвимости CVE-2025-0108 18 февраля, сообщив о том, что происходят атаки, использующие комбинацию уязвимости CVE-2024-9474 и CVE-2025-0111. Это свидетельствует о том, что эксплойты уже используются для получения полного контроля над уязвимыми устройствами. Компания настоятельно рекомендует администраторам обновить версии PAN-OS до последних версий с исправлениями.
Хотя облачные сервисы CloudNGFW и Prisma Access не подвержены угрозе, пользователи традиционных решений находятся под растущей угрозой атак. Palo Alto Networks подчеркивает, что защита веб-интерфейса путём ограничения доступа только с внутренних IP-адресов не гарантирует полной безопасности. Многие администраторы оставляют интерфейсы доступными из интернета, чтобы упростить удалённое управление, но в текущей ситуации это представляет серьезную угрозу.
Palo Alto не раскрывает число затронутых пользователей, но отмечает, что большинство их клиентов держат интерфейсы управления закрытыми. Тем не менее, обновление остаётся обязательным действием. Компания планирует выпустить экстренное обновление в ближайшие дни. Некоторые пользователи уже получили исправление 11.1.4-h12, устраняющее проблему с перезагрузкой брандмауэров при определённом сетевом трафике. В настоящее время проводится финальное тестирование перед широким распространением обновления.
