[TLP:CLEAR] Palo Alto opravuje 6 zranitelností, z toho 2 aktivně zneužívané
Palo Alto opravuje 6 zranitelností ve svých produktech [1][2][3][4][5][6]. Dvě z nich již byly zařazeny do katalogu známých zneužívaných zranitelností agentury CISA [7][8]. Produkty a jejich opravené verze: PAN-OS [1][3][4] 10.1 - 10.1.14-h9; 10.2 - 10.2.7-h24, 10.2.8-h21, 10.2.9-h21, 10.2.10-h14, 10.2.11-h12, 10.2.12-h6, 10.2.13-h3; 11.1 - 11.1.2-h18, 11.1.4-h13, 11.1.6-h1; 11.2 - 11.2.4-h4, 11.2.5; PAN-OS OpenConfig plugin - 2.1.2 [2]; Cortex XDR Broker VM - 26.0.116 [5]; Cortex XDR Agent (pro Windows) - 8.3.101-CE, 8.5.1, 8.6 a novější [6].
Neautentizovanému vzdálenému útočníkovi je ve webovém správcovském rozhraní PAN-OS umožněno obejít autentizaci a volat některé PHP skripty, což však neumožňuje vykonání RCE [1]. Riziko útoku lze významně snížit omezením přístupu ke správcovskému rozhraní pouze na důvěryhodné interní IP adresy dle doporučení na [9]. Detailní informace ohledně ověření zranitelných zařízení v infrastruktuře jsou k dispozici na [1]. PoC exploit ke zranitelnosti je k dispozici na [10][11]. Zranitelnost je již aktivně zneužívána [7].
Zranitelnost se nachází v produktu Palo Alto Networks PAN-OS ve verzích (>=10.1 AND <10.1.14-h9) OR (>=10.2 AND <10.2.7-h24) OR (>=10.2.8 AND <10.2.8-h21) OR (>=10.2.9 AND <10.2.9-h21) OR (>=10.2.10 AND <10.2.10-h14) OR (>=10.2.11 AND <10.2.11-h12) OR (>=10.2.12 AND <10.2.12-h6) OR (>=10.2.13 AND <10.2.13-h3).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N/E:A/AU:N/R:U/V:C/RE:M/U:Red
Více informací:
- CVE-2025-0108 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-306: Missing Authentication for Critical Function at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 2. 2025.
Autentizovanému vzdálenému útočníkovi s administrátorskými oprávněními pro vytváření gNMI požadavků na webové správcovské rozhraní PAN-OS je kvůli zranitelnosti v pluginu PAN-OS OpenConfig umožněno spouštět libovolné příkazy jako uživatel “__openconfig” s rolí Device Administrator na firewallu. Software je zranitelný, je-li plugin OpenConfig povolen. Zakázat jej, odinstalovat či ověřit jeho verzi lze v Device > Plugin [2]. Riziko útoku lze významně snížit omezením přístupu ke správcovskému rozhraní pouze na důvěryhodné interní IP adresy dle doporučení na [9]. PoC exploit ke zranitelnosti je k dispozici na [12].
Zranitelnost se nachází v produktu Palo Alto Networks PAN-OS OpenConfig Plugin ve verzích <2.1.2.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P/AU:N/R:U/V:C/RE:M/U:Amber
Více informací:
- CVE-2025-0110 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 2. 2025.
Autentizovanému vzdálenému útočníkovi s přístupem k webovému správcovskému rozhraní PAN-OS je v souborovém systému umožněno číst soubory přístupné uživateli typu "nobody" [3]. Riziko útoku lze významně snížit omezením přístupu ke správcovskému rozhraní pouze na důvěryhodné interní IP adresy dle doporučení na [9]. Detailní informace ohledně ověření zranitelných zařízení v infrastruktuře jsou k dispozici na [3]. Zranitelnost je již aktivně zneužívána [8].
Zranitelnost se nachází v produktu Palo Alto Networks PAN-OS ve verzích (>=10.1 AND <10.1.14-h9) OR (>=10.2 AND <10.2.7-h24) OR (>=10.2.8 AND <10.2.8-h21) OR (>=10.2.9 AND <10.2.9-h21) OR (>=10.2.10 AND <10.2.10-h14) OR (>=10.2.11 AND <10.2.11-h12) OR (>=10.2.12 AND <10.2.12-h6) OR (>=10.2.13 AND <10.2.13-h3).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:A/AU:N/R:U/V:C/RE:M/U:Red
Více informací:
- CVE-2025-0111 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-73: External Control of File Name or Path at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 2. 2025.
Neautentizovanému vzdálenému útočníkovi je ve webovém správcovském rozhraní PAN-OS umožněno jako uživateli typu “nobody” mazat určité soubory včetně některých logů a konfiguračních souborů, ne však systémové soubory [4]. Riziko útoku lze významně snížit omezením přístupu ke správcovskému rozhraní pouze na důvěryhodné interní IP adresy dle doporučení na [9]. Detailní informace ohledně ověření zranitelných zařízení v infrastruktuře jsou k dispozici na [4].
Zranitelnost se nachází v produktu Palo Alto Networks PAN-OS ve verzích (>=10.1 AND <10.1.14-h9) OR (>=10.2 AND <10.2.7-h24) OR (>=10.2.8 AND <10.2.8-h21) OR (>=10.2.9 AND <10.2.9-h21) OR (>=10.2.10 AND <10.2.10-h14) OR (>=10.2.11 AND <10.2.11-h12) OR (>=10.2.12 AND <10.2.12-h6) OR (>=10.2.13 AND <10.2.13-h3).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P/AU:N/R:U/V:C/RE:M/U:Amber
Více informací:
- CVE-2025-0109 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-73: External Control of File Name or Path at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 2. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli chybě v mechanismu síťové izolace v Cortex XDR Broker VM umožněno získat neoprávněný přístup k Docker kontejnerům běžícím na hostitelské síti používané Broker VM, což může vést například ke čtení souborů určených k analýze a logů odesílaných agenty Cortex XDR na server Cortex XDR [5].
Zranitelnost se nachází v produktu Palo Alto Networks Cortex XDR Broker VM ve verzích <26.0.116.
CVSS: CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U/AU:Y/R:U/V:C/RE:M/U:Amber
Více informací:
- CVE-2025-0113 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-424: Improper Protection of Alternate Path at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 2. 2025.
Autentizovanému lokálnímu útočníkovi bez správcovských oprávnění je v Cortex XDR Agent na instancích Windows umožněno tohoto agenta zakázat. Zranitelnost může být zneužita také malwarem k deaktivaci agenta a následnému provádění škodlivé aktivity [6].
Zranitelnost se nachází v produktu Palo Alto Networks Cortex XDR Agent (windows) ve verzích (>=8.3 AND <8.3.101-CE) OR (>=8.4 AND <=8.4.1) OR (>=8.5 AND <8.5.1).
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U/AU:Y/R:U/V:D/U:Amber
Více informací:
- CVE-2025-0112 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-754: Improper Check for Unusual or Exceptional Conditions at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 2. 2025.
Odkazy
- [1] https://security.paloaltonetworks.com/CVE-2025-0108
- [2] https://security.paloaltonetworks.com/CVE-2025-0110
- [3] https://security.paloaltonetworks.com/CVE-2025-0111
- [4] https://security.paloaltonetworks.com/CVE-2025-0109
- [5] https://security.paloaltonetworks.com/CVE-2025-0113
- [6] https://security.paloaltonetworks.com/CVE-2025-0112
- [7] https://www.cisa.gov/news-events/alerts/2025/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalog
- [8] https://www.cisa.gov/news-events/alerts/2025/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog
- [9] https://live.paloaltonetworks.com/t5/community-blogs/critical-recommendations-for-deployment-guides-how-to-secure-the/ba-p/464431
- [10] https://slcyber.io/blog/nginx-apache-path-confusion-to-auth-bypass-in-pan-os/
- [11] https://github.com/iSee857/CVE-2025-0108-PoC/blob/main/PanOs_CVE-2025-0108_LoginByPass.py
- [12] https://github.com/google/security-research/security/advisories/GHSA-73px-m3vw-mr35
Za CESNET-CERTS Michaela Ručková dne 25. 2. 2025.
