CVE-2025-0107: PoC Exploit Code Released for Palo Alto Expedition RCE Flaw
2025/01/17 SecurityOnline — Palo Alto Expedition の脆弱性 CVE-2025-0107 に対して、PoC エクスプロイト・コードと技術的詳細が公開された。この脆弱性の悪用に成功したリモートの攻撃者は、脆弱性のあるシステム上で、任意のコード実行の可能性を手にする。
脆弱性 CVE-2025-0107 は、Palo Alto Expedition バージョン 1.2.101 以下に存在し、その原因は /API/regionsDiscovery.php エンドポイントの欠陥にある。この欠陥を悪用する未認証の攻撃者は、アプリケーションを操作し、自身が制御する悪意の Apache Spark サーバに接続させる。
攻撃者は、このサーバから特別に細工された Java パッケージを配信し、そのレスポンスを脆弱な Expedition サーバで実行する。そうすることで、攻撃者は任意のコード実行の可能性を手にする。
SSD Secure Disclosure との協力により、脆弱性 CVE-2025-0107 の PoC を公開した研究者は、「/API/regionsDiscovery.php エンドポイントの脆弱性を悪用することで、未認証の攻撃者は、自身で制御する Apache Spark サーバへの呼び出しをトリガーし、任意のコード実行を引き起こせる」と述べている。
この情報公開は、脆弱性に対する注意喚起となる反面、攻撃者による悪用リスクを高めるものである。
昨年末の時点で発表されていたのは、2024年12月31日に Palo Alto Expedition が、サポート終了 (EoL:End-of-Life) を迎えるという情報である。このツールは、他社のファイアウォール・ベンダーから、Palo Alto Networks NGFW プラットフォームへと移行する期間において、一時的なツールとしての使用を想定したものである。したがって、現時点においても Expedition に依存している組織は、高いリスクにさらされている。
Palo Alto Networks は EoL の発表で、「Expedition は移行期間中に一時的に使用することを目的として設計されており、本番環境で実行するものではない」と述べている。脆弱性 CVE-2025-0107 が存在し、セキュリティ・アップデートが提供されないことにより、Expedition を使い捨付けているユーザーは、重大なリスクにさらされることになる。
Palo Alto Expedition の脆弱性 CVE-2025-0107 ですが、第一報は 2025/01/08 の「Palo Alto – Expedition Tool の複数の脆弱性が FIX:バージョン 1.2.101 未満は EoL」であり、その時点では CVSS 値 2.3 と評価されていました。しかし、PoC の登場により、深刻度に影響が生じる可能性もあります。ご利用のチームは、ご注意ください。よろしければ、Palo Alto Expedition で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.