CVE-2025-0108 & CVE-2025-0110: Palo Alto Networks Fixes High-Severity PAN-OS Vulnerabilities
2025/02/12 SecurityOnline — Palo Alto Networks がリリースしたのは、PAN-OS に存在する2つの深刻な脆弱性に対処する、セキュリティ・アドバイザリである。この脆弱性 CVE-2025-0108/CVE-2025-0110 を悪用する攻撃者は、認証バイパスおよび、任意のコマンド実行を達成できるという。
CVE-2025-0108 (CVSSv3.1:7.8):認証バイパスの脆弱性
この脆弱性は、PAN-OS の管理 Web インターフェイスに存在する。この管理インターフェイスへのネットワーク・アクセスを悪用する未認証の攻撃者は、認証をバイパスし、特定の PHP スクリプトを呼び出すことが可能となる。それにより、リモート・コード実行に到達することはないが、PAN-OS の整合性/機密性に影響が生じる可能性がある。
同社のアドバイザリには、「Palo Alto Networks PAN-OS ソフトウェアに存在する、認証バイパスの脆弱性を悪用する攻撃者は、管理 Web インターフェイスにネットワーク・アクセスして認証をバイパスし、特定の PHP スクリプトを呼び出すことが可能となる」と記されている。
CVE-2025-0110 (CVSSv3.1:7.3):コマンド・インジェクションの脆弱性
この脆弱性は、PAN-OS OpenConfig プラグインに存在する。PAN-OS 管理 Web インターフェイスに対して、gNMI リクエストを発行できる認証済の管理者は、この脆弱性を悪用することで任意のコマンドを挿入/実行できる。これらのコマンドは、デバイス管理者ロールを持つ “_openconfig” ユーザーの権限で実行される。
同社のアドバイザリには、「Palo Alto Networks PAN-OS OpenConfig プラグインには、コマンド・インジェクション脆弱性が存在する。PAN-OS 管理 Web インターフェイスに gNMI リクエストを発行できる認証済の管理者は、システム制限をバイパスし、任意のコマンドを実行できる」と記されている。
影響を受けるバージョンと緩和策
脆弱性 CVE-2025-0108 は、PAN-OS バージョン 11.2 (11.2.4-h4 以前)/11.1 (11.1.6-h1 以前)/10.2 (10.2.13-h3 以前)/10.1 (10.1.14-h9 以前) に影響を及ぼす。また、脆弱性 CVE-2025-0110 は、PAN-OS OpenConfig プラグインの、バージョン 2.1.2 以前に影響を及ぼす。
すでに Palo Alto Networks は、アップデートをリリースし、これらの脆弱性に対処している。ユーザーに対して強く推奨されるのは、PAN-OS の最新バージョンへと、速やかにアップデートすることだ。
さらに同社は、管理インターフェイスへのアクセスを、信頼できる内部 IP アドレスだけに制限することを推奨している。Palo Alto Networks は、「OpenConfig プラグインを使用しない場合には、無効化もしくはアンインストールを実施してほしい」と強調している。
Palo Alto PAN-OS の複数の脆弱性が FIXしました。ご利用のチームは、迅速なアップデートを、ご検討ください。なお、最近の PAN-OS ですが、2024/12/30 に「CISA KEV 警告 24/12/30:Palo Alto PAN-OS の脆弱性 CVE-2024-3393 を登録」という記事をポストしています。よろしければ、Palo Alto で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.