Un bug de la sévérité moyenne récemment divulguée a été enchaîné avec des bugs critiques et plus anciens pour obtenir un accès au niveau racine aux systèmes de pare-feu PAN.
Une vulnérabilité de contournement d’authentification à haute sévérité dans le logiciel Pan-OS de Palo Alto Networks, corrigé la semaine dernière, est maintenant activement exploitée par les acteurs de la menace pour obtenir un accès au niveau de la racine aux systèmes de pare-feu affectés.
Suivi en CVE-2025-0108, la vulnérabilité permet un attaquant non authentifié avec un accès réseau à l’interface Web de gestion Pan-OS pour contourner les exigences d’authentification.
Le défaut a reçu une cote de gravité de CVSS 8.8 sur 10, mais uniquement lorsque l’accès à l’interface Web de gestion à partir d’adresses IP externes sur Internet est autorisée. La notation est considérablement réduite à 5,9 lorsque cet accès est limité aux adresses IP autorisées, ce qui en fait une solution de contournement efficace.
Le contournement permet aux attaquants d’invoquer certains scripts PHP qui, bien que ne permettent pas l’exécution du code distant, puisse «avoir un impact négatif sur l’intégrité et la confidentialité de Pan-OS», avait déclaré Palo Alto dans un avis de sécurité.
Chaînage avec des défauts plus anciens pour un compromis au niveau de la racine
L’exploitation implique le chaînage CVE-2025-0108 avec deux défauts plus anciens, un avec une exploitation active antérieure, qui permettent une escalade de privilège et un fichier authentifié en lecture sur les systèmes affectés.
« Palo Alto Networks a observé des tentatives d’exploitation à l’essai CVE-2025-0108 avec CVE-2024-9474 et CVE-2025-0111 sur les interfaces de gestion Web Pan-OS non garanties et non garanties », selon une mise à jour faite sur l’avis.
La découverte du CVE-2025-0108 est venue de l’analyse post-patch du CVE-2024-9474, un défaut de sévérité moyen (CVSS 6.9 / 10) qui a été activement exploité en novembre. À ce moment-là, les attaquants ont été vus enchaîner le CVE-2024-9474 avec une autre vulnérabilité de dérivation d’authentification critique (CVE-2024-0012) affectant le PAN-OS, et ensemble, ils ont permis d’exécuter des codes à distance sur des systèmes compromis.
Les acteurs de la menace désormais chaîne CVE-2025-0108 et CVE-2024-9474 avec un défaut de haute sévérité (CVE-2025-0111) pour un accès au niveau de la racine non autorisé à des systèmes vulnérables, en permettant potentiellement à l’extraction de données de configuration sensibles et de références des utilisateurs .
Le correctif immédiat conseillé
Les trois vulnérabilités affectent les versions PAN-OS 10.1, 10.2, 11.1 et 11.2, et ont reçu des correctifs respectivement. Palo Alto Networks a confirmé que ses services Cloud NGFW et Prisma Access ne sont pas touchés.
En tant que solution de contournement, il est conseillé aux administrateurs de restreindre l’accès à l’interface Web de gestion aux adresses IP internes de confiance uniquement. Même alors, les systèmes non corrigés peuvent rester vulnérables avec des risques réduits. De plus, les clients ayant un abonnement à la prévention des menaces pourraient bloquer les tentatives d’attaque à exploiter CVE-2025-0108 et CVE-2025-0111 en permettant à la menace ID 510000 AD 510001, a ajouté l’avis.
Récents Palo Alto News:
- Palo Alto Networks Les pare-feu ont des défauts UEFI, des contournements de démarrage sécurisés
- Palo Alto Networks Bug de pare-feu est exploité par les acteurs de la menace: Rapport
- Certains pare-feu Palo Alto Networks redémarrent spontanément
- Les cisos qui ont retardé le patchage des vulnérabilités de palo alto sont désormais confrontés à une réelle menace
- Kyndryl étend l’accord Palo Alto pour offrir un service géré
