Palo Alto Firewall Flaw (CVE-2025-0108): Active Exploits in the Wild, PoC Released
2025/02/13 SecurityOnline — Palo Alto Networks が公表したのは、同社の Next-Generation Firewalls の管理 Web インターフェースに存在する、深刻度の高い認証バイパス脆弱性 CVE-2025-0108 への対処である。Palo Alto は、悪用の試行は確認されていないと述べているが、脅威インテリジェンス企業 GreyNoise は、実際の悪用を検出しており、PAN-OS を使用する組織に、大きな懸念が生じている。
この脆弱性を悪用する未認証の攻撃者は、ファイアウォールの管理インターフェースで特定の PHP スクリプトを実行できるという。それにより、リモート・コード実行 (RCE) が許可されるわけではないが、この悪用により PAN-OS の整合性/機密性に影響が生じる可能性があることを、Palo Alto Networks は確認している。
この欠陥は、Assetnote の研究者たちにより発見された。彼らは、以前に悪用が確認された2つの脆弱性 CVE-2024-0012/ CVE-2024-9474 へのパッチを分析していた。これらの攻撃者は、2024年11月に悪用に遭遇し、2,000台を超える PAN ファイアウォール侵害の原因となったものだ。
Assetnote の研究者である Adam Kues は、「管理インターフェースのアーキテクチャを、さらに調査していくうちに、パッチ適用後においても、何か変だと疑うようになった」と説明している。
さらに詳しく調査すると、3つの主要コンポーネントである Nginx/Apache/PHP アプリが、このファイアウォールの管理インターフェースへ送信する Web リクエストを処理する方法に、悪用が可能な矛盾点が存在することが判明した。この発見により、脆弱性 CVE-2025-0108 が特定された。
Assetnote の CTO である Shubham Shah は、「この問題は、過去の脆弱性の一因となった、アーキテクチャ・デザインの選択に起因するものだが、明確なセキュリティ上の欠陥である」と明言している。
すでに、脆弱性 CVE-2025-0108 の PoC エクスプロイトが公開され、パッチ未適用のシステムに対する、脅威アクターによる標的化が容易になっている。
この PoC の公開直後から、この脆弱性を標的とする積極的な悪用の試行が、GreyNoise により確認されている。つまり、脆弱な Palo Alto Networks ファイアウォールの調査を攻撃者たちが開始し、不正アクセスを得ようとしている状況が示唆される。
すでに Palo Alto Networks は、以下の PAN-OS バージョンでパッチをリリースし、この脆弱性に対処している:
- 11.2.4-h4 以降
- 11.1.6-h1 以降
- 10.2.13-h3 以降
- 10.1.14-h9 以降
PAN-OS を使用している組織に対して、強く推奨されるのは、上記のセキュリティ・パッチを速やかに適用し、このリスクを軽減することだ。さらに、ユーザー組織のセキュリティ・チームには、環境を保護するための積極的な措置を講じる必要性がある:
- ファイアウォール管理インターフェイスへのアクセスを制限し、公開されないようにする。
- ログと脅威インテリジェンス ツールを使用して、悪用の兆候を監視する。
- 過去のセキュリティ・アドバイザリを確認し、以前の脆弱性に起因する潜在的なミスコンフィグを特定する。
Palo Alto Firewall の脆弱性 CVE-2025-0108 に対する、PoC が公開されました。この脆弱性は、2025/02/12 の「Palo Alto PAN-OS の脆弱性 CVE-2025-0108/0110 が FIX:認証バイパスと任意のコマンド実行の恐れ」でお伝えした通り、パッチがリリースされたばかりですが、悪用の試行が確認されているとのことです。ご利用のチームは、パッチの適用を、お急ぎください。よろしければ、Palo Alto で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.