Palo Alto Networks ha abordado una falla de seguridad de alta severidad en su software PAN-OS que podría resultar en un bypass de autenticación.
La vulnerabilidad, rastreada como CVE-2025-0108lleva una puntuación CVSS de 7.8 de 10.0. Sin embargo, el puntaje cae a 5.1 si el acceso a la interfaz de administración está restringido a un cuadro de salto.
«Una autenticación omitida en el software PAN-OS de Palo Alto Networks permite a un atacante no autenticado con acceso a la red a la interfaz web de administración para evitar la autenticación requerida de otro modo requerida por la interfaz web de administración PAN-OS e invocar ciertos scripts de PHP», dijo Palo Alto Networks en un aviso.
«Si bien invocar estos scripts PHP no habilita la ejecución del código remoto, puede afectar negativamente la integridad y la confidencialidad de PAN-OS».
La vulnerabilidad afecta las siguientes versiones –
- PAN-OS 11.2 = 11.2.4-H4)
- PAN-OS 11.1 = 11.1.6-H1)
- PAN-OS 11.0 (Actualice a una versión fija compatible ya que ha alcanzado el estado de fin de vida el 17 de noviembre de 2024)
- PAN-OS 10.2 = 10.2.13-h3)
- PAN-OS 10.1 = 10.14-H9)
El investigador de seguridad Cyber/Assetnote de Searchlight, Adam Kues, a quien se le atribuye descubrir e informar el defecto, dijo que el defecto de seguridad tiene que ver con una discrepancia en cómo los componentes NGINX y Apache de la interfaz manejan las solicitudes entrantes, lo que resulta en un ataque transitorio de directorio.
Palo Alto Networks también ha enviado actualizaciones para resolver otros dos defectos –
- CVE-2025-0109 (Puntuación CVSS: 5.5): una vulnerabilidad de eliminación de archivos no autenticada en la interfaz web de administración PAN -OS de Palo Alto Networks que permite a un atacante con acceso a la red a la interfaz web de administración eliminar ciertos archivos como el usuario «Nadie», incluidos registros limitados y limitados Archivos de configuración (fijados en las versiones PAN-OS 11.2.4-H4, 11.1.6-H1, 10.2.13-H3 y 10.1.14-H9)
- CVE-2025-0110 (Puntuación CVSS: 7.3): una vulnerabilidad de inyección de comando en el complemento PAN-OS OPENCONFIG PAN-OS PAN-OS que permite a un administrador autenticado con la capacidad de realizar solicitudes GNMI a la interfaz web de administración PAN-OS para evitar restricciones del sistema y ejecutar comandos arbitrarios ( Se corrigió en PAN-OS OpenConfig Plugin versión 2.1.2)
Para mitigar el riesgo que plantea la vulnerabilidad, se recomienda deshabilitar el acceso a la interfaz de gestión desde Internet o cualquier red no confiable. Los clientes que no usan OpenConfig pueden elegir deshabilitar o desinstalar el complemento de sus instancias.
CVE-2025-0108 se encuentra bajo una explotación activa
La firma de inteligencia de amenazas Greynoise advierte que los actores maliciosos están tratando de explotar activamente una fallas de omisión de autenticación recién parchadas que afectan las redes de Palo Alto Pan-OS. Los datos compartidos por la compañía muestran que los intentos de explotación se han originado en cinco direcciones IP únicas ubicadas en los Estados Unidos, China e Israel.
«Este defecto de alta severidad permite a los atacantes no autenticados ejecutar scripts de PHP específicos, lo que puede conducir a un acceso no autorizado a sistemas vulnerables», dijo el equipo de investigación de Greynoise.