[TLP:CLEAR] Palo Alto Networks opravuje 5 zranitelností

Palo Alto Networks opravuje 5 zranitelností ve svých produktech. Nejzávažnější z nich jsou popsány níže [1][2][3][4], zbytek naleznete na [5]. Produkty a jejich opravené verze: PAN-OS [1][3][4] - 10.1.14-h11; - 10.2.13-h5, 10.2.14 (očekávaná dostupnost 3.4.2025); - 11.0.6; - 11.1.8; - 11.2.5; GlobalProtect App (pro Windows) [2][5] - 6.2.6; - 6.3.3 (očekávaná dostupnost v dubnu 2025).

Palo Alto Networks PAN-OS - DoS (CVE-2025-0114) CVSS 4.6 (Medium)

Neautentizovanému vzdálenému útočníkovi je na službu GlobalProtect v PAN-OS umožněno vykonat útok DoS. Zranitelné jsou pouze instance s touto funkcionalitou. Konfiguraci je možné ověřit ve webovém rozhraní firewallu v Network > GlobalProtect > Portals a Network > GlobalProtect > Gateways [1].

Zranitelnost se nachází v produktu Palo Alto Networks PAN-OS ve verzích (>=10.1 AND <10.1.14-h11) OR (>=10.2 AND <10.2.5) OR (>=11.0 AND <11.0.2).

CVSS: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U/AU:N/R:U/V:C/RE:M/U:Amber

Více informací:

Zranitelnost byla veřejně oznámena 12. 3. 2025.

Palo Alto Networks GlobalProtect App - privilege escalation (CVE-2025-0117) CVSS 4.3 (Medium)

Autentizovanému lokálnímu útočníkovi bez administrátorských práv je v GlobalProtect App na Windows umožněno eskalovat svá oprávnění na NT AUTHORITY\SYSTEM. Kromě aktualizace na opravenou verzi je nutné upravit klíč v registru Windows přidáním hodnoty "check-communication"="yes" jako REG_SZ v umístění: [HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings] a restartovat zařízení. U nových instalací je alternativně možné použít příkaz msiexec.exe /i GlobalProtect64.msi CHECKCOMM="yes", který nastaví správnou hodnotu automaticky. Bez této konfigurace zůstane zařízení zranitelné i po aktualizaci [2].

Zranitelnost se nachází v produktu Palo Alto Networks GlobalProtect App (windows) ve verzích (>=6.0 AND <6.2.6) OR (>=6.3 AND <6.3.3).

CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:N/VI:H/VA:N/SC:H/SI:H/SA:H/E:U/AU:N/R:U/V:D/RE:M/U:Amber

Více informací:

Zranitelnost byla veřejně oznámena 12. 3. 2025.

Palo Alto Networks PAN-OS - arbitrary file read (CVE-2025-0115) CVSS 4.3 (Medium)

Autentizovanému lokálnímu útočníkovi s administrátorskými právy je v PAN-OS CLI umožněno číst libovolné soubory [3]. Riziko útoku lze významně snížit omezením přístupu ke správcovskému rozhraní pouze na důvěryhodné interní IP adresy dle doporučení na [6].

Zranitelnost se nachází v produktu Palo Alto Networks PAN-OS ve verzích (>=10.1 AND <10.1.14-h11) OR (>=10.2 AND <10.2.11) OR (>=11.0 AND <11.0.6) OR (>=11.1 AND <11.1.5) OR (>=11.2 AND <11.2.3).

CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:U/AU:N/R:U/V:C/RE:M/U:Amber

Více informací:

Zranitelnost byla veřejně oznámena 12. 3. 2025.

Palo Alto Networks PAN-OS - DoS (CVE-2025-0116) CVSS 4.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je v PAN-OS zasíláním specificky vytvořených LLDP rámců umožněno vykonat na firewall útok DoS. Zranitelné jsou pouze systémy s povolenými LLDP rámci na alespoň jednom síťovém rozhraní. Detailnější informace jsou k dispozici na [4].

Zranitelnost se nachází v produktu Palo Alto Networks PAN-OS>=10.1,<10.1.14-h11 ve verzích (>=10.2 AND <10.2.13-h5) OR (>10.2.13-h5 AND <10.2.14) OR (>=11.1 AND <11.1.8) OR (>=11.2 AND <11.2.5).

CVSS: CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U/AU:N/R:U/V:C/RE:M/U:Amber

Více informací:

Zranitelnost byla veřejně oznámena 12. 3. 2025.

Za CESNET-CERTS Michaela Ručková dne 17. 3. 2025.

CESNET CERTS Logo