Три ключа от root: в PAN-OS обнаружена опасная комбинация уязвимостей

Palo Alto Networks подтвердила активную эксплуатацию исправленной критической уязвимости CVE-2025-0108. В сочетании с двумя ранее выявленными ошибками хакеры получают возможность обойти аутентификацию и получить полный root-доступ к уязвимым системам.

История началась с CVE-2024-9474 (оценка CVSS: 6.9) — уязвимости повышения привилегий в PAN-OS, позволяющей администраторам с доступом к веб-интерфейсу управления выполнять команды с root-правами. Palo Alto Networks выпустила исправление ещё в ноябре 2024 года. Однако специалисты Searchlight Cyber’s Assetnote при анализе исправления обнаружили новую проблему, связанную с обходом аутентификации.

Новая уязвимость получила идентификатор CVE-2025-0108 (оценка CVSS: 8.8) и была устранена в начале февраля 2025 года. Эксплойт позволяет атакующим, имеющим сетевой доступ к интерфейсу управления, обходить аутентификацию и вызывать определённые PHP-скрипты. В результате может быть скомпрометирована целостность и конфиденциальность системы.

Дополнительную угрозу представляет уязвимость CVE-2025-0111 (оценка CVSS: 7.1), исправленная в тот же день. Недостаток позволяет аутентифицированному киберпреступнику с доступом к сетевым ресурсам считывать файлы, доступные пользователю «nobody». Несмотря на свой рейтинг, при комбинированной атаке ошибка становится опасной проблемой.

18 февраля Palo Alto Networks обновила рекомендации по CVE-2025-0108, сообщив, что зафиксированы атаки, использующие связку из CVE-2024-9474 и CVE-2025-0111. Это указывает на то, что эксплойт уже применяется для получения полного контроля над уязвимыми устройствами. Компания настоятельно рекомендует администраторам обновить версии PAN-OS 10.1, 10.2, 11.0, 11.1 и 11.2 до последних версий с исправлениями.

Хотя облачные сервисы Cloud NGFW и Prisma Access не подвержены угрозе, пользователи традиционных решений находятся под растущей угрозой атак. Palo Alto Networks подтверждает, что атаки продолжаются и их число растёт.

Особо подчёркивается, что защита веб-интерфейса путём ограничения доступа только с внутренних IP-адресов не гарантирует полной безопасности. Даже такие системы остаются уязвимыми, хотя риск их компрометации снижен. По словам специалистов, многие администраторы сознательно оставляют интерфейсы доступными из интернета, чтобы упростить удалённое управление. Однако в текущей ситуации такая практика представляет серьёзную угрозу.

Palo Alto не раскрывает, сколько пользователей затронуто, но отмечает, что большинство клиентов держат интерфейсы управления закрытыми. Тем не менее, даже в этом случае обновление является обязательной мерой. В ближайшие дни компания выпустит экстренное обновление. Некоторые пользователи уже получили предварительное исправление 11.1.4-h12, устраняющее проблему с перезагрузкой брандмауэров при определённом сетевом трафике. В настоящее время проводится финальное тестирование перед широким распространением обновления.