Palo Alto Networksは水曜日に、Pan-OSソフトウェアの高強度認証バイパスの脆弱性に対処したことを示すセキュリティアドバイザリーを発行しました。
気付いていない人にとって、PAN-OSはすべてを実行するソフトウェアですPalo Alto Networksの次世代ファイアウォール(NGFW)およびセキュリティアプライアンス。
これは、企業、サービスプロバイダー、政府組織に高度なネットワークセキュリティ、脅威防止、および交通管理機能を提供するように設計されています。
識別される高強度の脆弱性CVE-2025-0108(CVSSスコア:7.8)、Pan-OSのNginx/Apacheによるパス処理の問題に由来します。
うまく活用された場合、攻撃者はPAN-OS管理Webインターフェイス認証をバイパスし、特定のPHPスクリプトを呼び出し、潜在的に機密システムデータへのアクセスを獲得したり、基礎となる脆弱性を活用したりできます。
「Palo Alto Networks Pan-OSソフトウェアの認証バイパスは、管理Webインターフェイスにネットワークアクセスできる無許可の攻撃者を可能にし、PAN-OS管理Webインターフェイスに必要な認証をバイパスし、特定のPHPスクリプトを呼び出します」書いた水曜日に公開されたアドバイザリーで。
「これらのPHPスクリプトを呼び出すことは、リモートコードの実行を有効にしませんが、PAN-OSの完全性と機密性に悪影響を与える可能性があります。」
欠陥は、PAN-OSの複数のバージョンに影響します。これは次のとおりです。
- PAN-OS 11.2 <11.2.4-H4(11.2.4-H4以降で固定)
- PAN-OS 11.1 <11.1.6-H1(11.1.6-H1以降で固定)
- PAN-OS 10.2 <10.2.13-H3(10.2.13-H3以降で固定)
- パンオース10.1 <10.1.14-H9(10.1.14-H9または後期に固定)
さらに、PAN-OSバージョン:PAN-OS 10.1> = 10.1.14-H9、PAN-OS 10.2> = 10.2.13-H3、PAN-OS 11.1> = 11.1.6-H1、およびPAN-OS 11.2> = 11.2.4-H4は、脆弱性の影響を受けないままです。また、クラウドNGFWおよびPRISMAアクセスソフトウェアにも影響しません。
同社は、影響を受けるすべての顧客に、PAN-OSに最新のパッチをすぐに適用するよう促しています。
また、ユーザーに、脆弱性に関連する疑わしいアクティビティについてファイアウォールログを確認し、ネットワーク環境を確保するためのPalo Alto Networksのベストプラクティスに従い、脅威インテリジェンスモニタリングに従事して、新たなリスクについて最新の状態を維持します。
CVE-2025-0108の脆弱性は、AssetNoteのセキュリティ研究者であるAdam Kuesによって発見されました。Palo Altoに報告したSearchlight Cyberの一部。
AssetNoteの研究者は、以前のPAN-OSの欠陥のパッチを分析しながら、この欠陥に遭遇しました - CVE-2024-0012そしてCVE-2024-9474- それは野生で悪用されました。
「私たちの研究は、パロアルトネットワークの最近のパッチが既知の脆弱性に対処しているが、PAN-OSの基礎となるアーキテクチャには同じ脆弱性クラス内に追加のセキュリティ欠陥が含まれていることが明らかになりました」と、AsetNoteのCTOおよび共同設立者、Shubham(Shubs)Shahは述べています。
「これは、ベンダーがセキュリティインシデントに対処する際に総合的なセキュリティアーキテクチャレビューを検討することを強調しています。」
Palo Networksによると、野生のCVE-2025-0108の脆弱性の悪意のある搾取の兆候はありません。
脆弱性を「高い重大度」と見なしていますが、ベンダーによって割り当てられた緊急性評価は「中程度」です。
