Saldırganlar aktif olarak bir Kimlik Doğrulama Baypas Koşusu Palo Alto Networks Pan-OS yazılımında, kimliği doğrulanmamış bir saldırganın bu arayüzün kimlik doğrulamasını atmasını ve belirli PHP komut dosyalarını çağırmasını sağlayan.
Hem Siber Güvenlik Altyapısı hem de Güvenlik Ajansı (CISA) hem de Güvenlik Araştırmacıları, CVE-2025-0108 olarak izlenen ve ilk olarak 12 Şubat’ta bir blog yazısında ortaya çıkan kusurdan yararlanmak için artan saldırgan faaliyeti uyarılarını uyarıyorlar. Sıfırlık bir kusur olarak Searchlight Cyber AssetNote’daki araştırmacılar tarafından. PAN-OS, Palo Alto’nun güvenlik duvarı cihazları için işletim sistemidir; Kusur, PAN-OS v11.2, v11.1, v10.2 ve v10.1’in belirli sürümlerini etkiler ve etkilenen tüm sürümler için yamalanmıştır.
Path bilgisi Palo Alto’s’da mevcuttur güvenlik danışmanlığı CVE-2025-0108’de, 8.8 olarak derecelendirilen ve bu nedenle CVSS’de yüksek şiddetli. Şirket, çağrılabilecek PHP komut dosyalarının kendilerini uzaktan kod yürütmesini sağlayamamasına rağmen, kusurdan yararlanmanın “PAN-OS’nin bütünlüğünü ve gizliliğini olumsuz etkileyebileceği”, potansiyel olarak diğer hataların kullanılabileceği savunmasız sistemlere erişim sağlayabilir. daha fazla amaç elde etmek için.
Gerçekten de araştırmacılar, CVE-2025-0108’i diğer iki PAN-OS web yönetimi arayüzü kusuruyla zincirleyerek istismar girişimleri yaptıklarını gözlemlediler- CVE-2024-9474bir ayrıcalık artış kusuru ve CVE-2025-0111, kimlik doğrulamalı bir dosya güvenlik açığı okundu-takılmamış ve teminatsız PAN-OS örneklerinde.
Palo Alto güvenlik duvarlarının aktif sömürüsü
Tehdit aktörleri, etkilenen cihazlara yönelik saldırılar arttıkça, istismar potansiyeli üzerine not aldı. 18 Şubat’tan itibaren 25 kötü niyetli IPS, Geynoise’deki araştırmacılara göre, keşiflerinin kamuya açıklanmasından sonraki günden sadece ikiden CVE-2025-0108’den aktif olarak yararlanıyor. Bu saldırılar için ilk üç ülke ABD, Almanya ve Hollanda, Sömürü hakkındaki bir blog yayınına göre.
Geynoise Intelligence’ın içerik başkanı Noah Stone, “PAN-OS güvenlik duvarlarına güvenen kuruluşlar, açılmamış cihazların hedeflendiğini varsaymalı ve onları güvence altına almak için hemen adımlar atmalıdır.”
Kusurdan yararlanmak için artan faaliyet CISA’yı zorladı Eklemek için ki Bilinen sömürülen güvenlik açıkları kataloğu bu hafta etkilenenleri etkilenen cihaz sürümleri için Palo Alto’nun yamalarını uygulamaya çağırıyor.
PAN-OS’da Neden CVE-2025-0108 var
Güvenlik araştırmacısı Adam Kues, “kimlik doğrulamasının bir proxy katmanında uygulandığı,” kimlik doğrulamasının bir proxy katmanında uygulandığı, ancak daha sonra istek farklı davranışlarla ikinci bir katmandan geçirildiği “kusur nedeniyle kusur var.
“Temel olarak, bu mimariler, birçok etkili hataya yol açabilecek başlık kaçakçılığına ve yol karışıklığına yol açıyor.”
Özellikle, PAN-OS yönetimi arayüzüne bir web isteği üç ayrı bileşen tarafından işlenir: Nginx, Apache ve PHP uygulamasının kendisi. Araştırmacılar, talep eden kişi tarafından kimlik doğrulamanın Nginx seviyesine ayarlandığında ve HTTP başlıklarına dayanarak, talebin daha sonra PHP’ye isteği vermeden önce Nginx’e farklı şekilde yol veya başlıkları işleyebilecek Apache’de tekrar yeniden işlendiğini buldular.
Kues, “Nginx’in isteğimizin nasıl göründüğünü düşündüğü ve Apache’nin isteğimizin neye benzediğini düşündüğü arasında bir fark varsa, bir kimlik doğrulama baypası elde edebiliriz.”
Bir ağ yapılandırması, internetten (veya güvenilmeyen herhangi bir ağdan) yönetim arayüzüne doğrudan veya bir yönetim arabirimi profili içeren bir Dataplane arayüzü aracılığıyla erişim sağlıyorsa, sömürü riski en yüksektir.
Auth Bypass’ı şimdi yamalayarak riski ortadan kaldırın
Palo Alto’nun ağ cihazları yaygın olarak kullanılmış ve içindeki kusurlar genellikle Çabucak Saldırganlar tarafından, CVE-2025-0108 için hafifletmenin daha sonra değil daha erken gerçekleşmesini zorunlu kılmaktadır. CISA ve araştırmacılara göre, sömürü riskini tamamen ortadan kaldırmanın en iyi yolu Palo Alto’nun güncellemelerini etkilenen cihazlara uygulamaktır.
Palo Alto’ya göre, ağ yöneticileri sadece güvenilir dahili IP adreslerinin yönetim arayüzüne erişebilmesini sağlıyorsa, etkilenen kuruluşlar da bu riski azaltabilir. Savunucular, iyileştirme eylemi gerektiren varlıkları ziyaret edebilir. Varlıklar Bölümü Şirket, Müşteri Destek Portalı’nın dedi.
Palo Alto ayrıca, kuruluşların yönetim arayüzündeki IP’lerin Whitelist’lerini, bu veya benzer güvenlik açıklarının İnternet üzerinden kullanılmasını önlemek için önermektedir.
