Palo Alto Networks warns that CVE-2025-0111 flaw is actively exploited in attacks
2025/02/20 SecurityAffairs — Palo Alto Networks が発する警告は、脆弱性 CVE-2025-0111 を、既知の脆弱性 CVE-2025-0108/CVE-2024-9474 と、新たに発見された脆弱性 CVE-2025-0111 を連鎖させる脅威アクターが、PAN-OS ファイアウォールを侵害している状況に関するものだ。
この脆弱性 CVE-2025-0111 は、PAN-OS のファイル読み取りに関連する問題であり、管理 Web インターフェースへのネットワーク・アクセス権を持つ認証済の攻撃者に対して、アクセス権 “nobody” ファイルの読み取りを許可してしまうというものだ。
すでに Palo Alto Networks は、2025年2月12日の時点で、脆弱性 CVE-2025-0111 に対処している。しかし、その1週間後に、同社はセキュリティ情報を更新し、この脆弱性が実際に悪用されていることを警告した。この攻撃者は、脆弱性 CVE-2025-0108/ CVE-2024-9474 も連鎖させているという。
Palo Alto Networks は、「PAN-OS ソフトウェアの認証バイパスにより、管理 Web インターフェイスへのネットワーク・アクセス権を持つ未認証の攻撃者は、PAN-OS 管理 Web インターフェイスの認証をバイパスし、特定の PHP スクリプトの呼び出しを達成する。これらの PHP スクリプトを呼び出しても、リモート・コード実行には至らないが、PAN-OS の整合性/機密性に悪影響を与える可能性が生じる。Palo Alto Networks は、パッチ未適用によりセキュリティ保護が欠落している PAN-OS Web 管理インターフェイス上で、CVE-2025-0108 を CVE-2024-9474/CVE-2025-0111 と連鎖させるエクスプロイトの試みを確認した」と指摘している。
今週に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、脆弱性 CVE-2025-0108 を Known Exploited Vulnerabilities (KEV) カタログに追加している。
Shadowserver Foundation の研究者たちは、2024年2月13日午前4時 (UTC) 以降において、ハニーポット上でで CVE-2025-0108 の悪用試行を複数回にわたって観察している。専門家たちによると、19 の IP から発信された悪意のトラフィックは確認されており、最近に公開された脆弱性の PoC エクスプロイト・コードを、攻撃者たちは悪用していたとされる。
その一方でサイバー・セキュリティ企業 GreyNoise も、この欠陥を悪用する脅威アクターたちを確認している。GreyNoise は、「脆弱性 CVE-2025-0108 のアクティブな悪用を確認できた。PAN-OS ファイアウォールに依存している組織は、パッチ未適用のデバイスが標的化されていると想定し、直ちにセキュリティ対策を講じる必要がある」と指摘している。
この欠陥は、PAN-OS 管理 Web インターフェイスに存在する。ネットワーク上の未認証の攻撃者であっても、この脆弱性を悪用して認証を回避し、特定の PHP スクリプトを呼び出すことが可能だ。
管理インターフェイスがインターネットなどの信頼できないネットワークから、また、管理プロファイルを持つデータプレーン・インターフェースから、アクセスできる場合において、リスクが高くなると GreyNoise は警告している。同社が推奨するのは、信頼できる内部 IP アドレスだけにアクセスを制限し、悪用のリスクを最小限に抑えることだ。
この脆弱性に対処しているのは、以下のバージョンである。
| Versions | Affected | Unaffected |
|---|---|---|
| Cloud NGFW | None | All |
| PAN-OS 11.2 | < 11.2.4-h4 | >= 11.2.4-h4 |
| PAN-OS 11.1 | < 11.1.6-h1 | >= 11.1.6-h1 |
| PAN-OS 10.2 | < 10.2.13-h3 | >= 10.2.13-h3 |
| PAN-OS 10.1 | < 10.1.14-h9 | >= 10.1.14-h9 |
| Prisma Access | None | All |
Palo Alto の脆弱性 CVE-2025-0111 ですが、CVE-2024-9474/CVE-2025-0111 と連鎖させるエクスプロイトの試みが観測されたとのことです。ご利用のチームは、十分にご注意ください。なお、この脆弱性に関する第一報は、2025/02/13 の「Palo Alto Firewall の脆弱性 CVE-2025-0108 が FIX:PoC のリリースと積極的な悪用の試行」です。よろしければ、Palo Alto で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.