Nowe ataki na firewalle PAN-OS – wykorzystywana kombinacja podatności

Palo Alto Networks ostrzega, że luka CVE-2025-0111 dotycząca odczytu plików jest obecnie wykorzystywana w połączeniu z dwiema innymi podatnościami (CVE-2025-0108 i CVE-2024-9474) do ataków na firewalle PAN-OS.

12 lutego 2025 r. producent udostępnił aktualizacje łatające CVE-2025-0108 – podatność na obejście uwierzytelniania. W tym samym czasie badacze z Assetnote zaprezentowali exploit łączący CVE-2025-0108 i CVE-2024-9474, umożliwiający uzyskanie uprawnień roota na niezabezpieczonych firewallach. Już dzień później firma GreyNoise odnotowała pierwsze próby wykorzystania tych luk.

Nowy wektor ataku
CVE-2025-0111 to luka pozwalająca na odczyt plików przez atakującego z dostępem do panelu zarządzania PAN-OS. 21 lutego Palo Alto Networks poinformowało, że jest ona wykorzystywana jako część łańcucha exploitów, umożliwiającego pobieranie konfiguracji i wrażliwych danych z niezałatanych urządzeń.

Badacze wskazali, że cyberprzestępcy mogą połączyć te trzy podatności, aby ominąć mechanizmy uwierzytelniania i uzyskać pełne uprawnienia administratora na niezabezpieczonych firewallach. W efekcie możliwe jest przejęcie wrażliwych danych konfiguracyjnych oraz potencjalnie dalsza eskalacja dostępu.

Wzrost aktywności ataków
Szczególnie zagrożone są organizacje, które nie zastosowały najnowszych aktualizacji oprogramowania. Ruch sieciowy wskazuje, że znaczna część ataków pochodzi z adresów IP zlokalizowanych w USA i Europie, choć faktyczna lokalizacja sprawców może być ukryta za pośrednictwem VPN lub serwerów proxy.

Badania wykazały, że spośród 3 490 urządzeń PAN-OS wystawionych na internet, 2 262 (65%) nadal pozostaje podatnych na wszystkie trzy luki. Ponadto 1 168 firewalli zabezpieczono przed CVE-2024-9474, ale nadal są one narażone na CVE-2025-0108 i CVE-2025-0111.

Działania naprawcze
Amerykańska agencja CISA dodała CVE-2025-0108 do katalogu znanych zagrożeń (KEV) i nakazała instytucjom rządowym wdrożenie poprawek do 11 marca 2025 r. Palo Alto Networks apeluje o natychmiastowe załatanie CVE-2025-0108 i CVE-2025-0111, podkreślając, że ataki z ich wykorzystaniem są już aktywne.

Zalecenia dotyczące ochrony

Eksperci zalecają organizacjom, które używają firewalli PAN-OS, aby:

• Natychmiast zaktualizować oprogramowanie – dostępne łatki eliminują zagrożenie,
• Ograniczyć dostęp do panelu administracyjnego – najlepiej zablokować go dla ruchu z internetu,
• Monitorować ruch sieciowy pod kątem podejrzanych prób logowania i nieautoryzowanych działań.

W obliczu rosnącego ryzyka Palo Alto Networks oraz agencje ds. cyberbezpieczeństwa wzywają użytkowników PAN-OS do podjęcia natychmiastowych działań w celu ochrony swoich systemów.

Zaleca się także ograniczenie dostępu do panelu zarządzania PAN-OS z sieci publicznych, co jest jedną z podstawowych zasad bezpieczeństwa.