Три угрозы, одно решение: Palo Alto Networks выпускает экстренный патч для PAN-OS

Palo Alto Networks выпустила обновления для PAN-OS, фирменной операционной системы, которая используется в межсетевых экранах компании. Обновление устраняет критическую уязвимость CVE-2025-0108 , позволяющую обходить аутентификацию в веб-интерфейсе управления. Проблема получила оценку 7.8 по шкале CVSS, но снижается до 5.1, если доступ к интерфейсу ограничен.

Ошибка связана с тем, что злоумышленник с сетевым доступом к управлению может обойти требуемую аутентификацию и запустить определённые PHP-скрипты. Хотя выполнение удалённого кода невозможно, это может негативно сказаться на целостности и конфиденциальности системы.

Уязвимость затрагивает следующие версии PAN-OS:

• 11.2 до 11.2.4-h4 (исправлено в 11.2.4-h4 и выше);
• 11.1 до 11.1.6-h1 (исправлено в 11.1.6-h1 и выше);
• 11.0 (перестала получать обновления 17 ноября 2024 года);
• 10.2 до 10.2.13-h3 (исправлено в 10.2.13-h3 и выше);
• 10.1 до 10.1.14-h9 (исправлено в 10.1.14-h9 и выше).

Исследователь безопасности из Searchlight Cyber Адам Кьюс, обнаруживший проблему, пояснил , что причина уязвимости кроется в различиях обработки запросов между компонентами Nginx и Apache, что позволяет выполнить атаку обхода каталога.

Помимо этого, Palo Alto Networks устранила ещё две уязвимости:

• CVE-2025-0109 (CVSS 5.5) — позволяет неаутентифицированному злоумышленнику удалить определённые файлы через веб-интерфейс управления (исправлено в тех же версиях, что и CVE-2025-0108).
• CVE-2025-0110 (CVSS 7.3) — уязвимость в OpenConfig-плагине, позволяющая аутентифицированному администратору выполнять произвольные команды, обходя системные ограничения (исправлено в OpenConfig 2.1.2).

Чтобы снизить риск, связанный с уязвимостью, настоятельно рекомендуется отключить доступ к интерфейсу управления из Интернета или любой ненадёжной сети. Клиенты, которые не используют OpenConfig, могут отключить или удалить плагин из своих инстансов.