شرکت Palo Alto Networks، یک آسیب پذیری امنیتی با شدت بالا را در نرم افزارهای PAN-OS خود پچ کرده است که میتواند منجر به دور زدن مکانیزم احراز هویت شود. این آسیب پذیری که با شناسه CVE-2025-0108 دنبال میشود، دارای امتیاز CVSS:7.8 است.
آسیب پذیری CVE-2025-0108 به مهاجمان این امکان را میدهد تا فرآیند احراز هویت را دور بزنند و به اینترفیس وب مدیریتی دستگاههای تحت PAN-OS دسترسی پیدا کنند و برخی اسکریپتهای PHP خاص را فراخوانی نمایند. این نقص بهویژه در دستگاههایی که بهطور پیشفرض از طریق اینترنت قابل دسترس هستند، تهدیدی جدی ایجاد میکند.
در حالی که فراخوانی این اسکریپتهای PHP به اجرای کد از راه دور منجر نمیشود، اما میتواند بر یکپارچگی و محرمانگی PAN-OS تاثیر منفی بگذارد. این آسیب پذیری، نسخههای زیر از PAN-OS را تحت تاثیر قرار میدهد:
- PAN-OS 11.2 تا 2.4-h4 (پچ شده در نسخههای 11.2.4-h4 و جدیدتر)
- PAN-OS 11.1 تا 1.6-h1 (پچ شده در نسخههای 11.1.6-h1 و جدیدتر)
- PAN-OS 11.0 (آپگرید به نسخهای که دارای پشتیبانی است چرا که این نسخه در تاریخ ۱۷ نوامبر ۲۰۲۴ به پایان پشتیبانی خود رسید)
- PAN-OS 10.2 تا 2.13-h3 (پچ شده در نسخههای 10.2.13-h3 و جدیدتر)
- PAN-OS 10.1 تا 1.14-h9 (پچ شده در نسخههای 10.1.14-h9 و جدیدتر)
آدام کوئس، پژوهشگر امنیتی از Cyber/Assetnote security ، که مسئول کشف و گزارش این آسیب پذیری است، اذعان داشت که این نقص امنیتی به دلیل تفاوت در نحوه پردازش درخواستهای ورودی توسط کامپوننتهای Nginx و Apache در اینترفیس کاربری است که منجر به حمله پیمایش دایرکتوری (Directory Traversal) میشود.
مهاجمان با دسترسی به شبکه و اینترفیس مدیریتی میتوانند از این آسیب پذیری برای جمعآوری اطلاعات به منظور حملات بعدی استفاده کنند یا با تغییر تنظیمات قابل دسترسی، تدابیر امنیتی را تضعیف نمایند.
Palo Alto Networks، همچنین به روزرسانیهایی را برای پچ دو آسیب پذیری دیگر منتشر کرده است که به شرح زیر میباشند:
CVE-2025-0109، یک آسیب پذیری حذف فایل غیرمجاز در اینترفیس وب مدیریتی PAN-OS شرکت Palo Alto Networks است که به مهاجمان با دسترسی شبکه به اینترفیس وب مدیریتی این امکان را میدهد که برخی فایلها از جمله لاگها و فایلهای پیکربندی محدود را به عنوان کاربر“nobody” حذف کنند. این آسیب پذیری در نسخه 11.2.4-h4، 11.1.6-h1، 10.2.13-h3 و 10.1.14-h9 نرم افزار PAN-OS پچ شده است.
CVE-2025-0110، یک آسیب پذیری Command Injection در پلاگین OpenConfig نرم افزار PAN-OS میباشد که به یک administrator احراز هویت شده با قابلیت ارسال درخواستهای gNMI به اینترفیس وب مدیریتی PAN-OS این امکان را میدهد که محدودیتهای سیستم را دور بزند و دستورات دلخواه را اجرا کند. این آسیب پذیری در نسخه 2.1.2 پلاگین OpenConfig پچ شده است.
به منظور کاهش خطرات ناشی از این آسیب پذیری، توصیه میشود به شدت دسترسی به اینترفیس مدیریتی از طریق اینترنت یا هر شبکه غیرمطمئن غیرفعال شود. مشتریانی که از OpenConfig استفاده نمیکنند، بهتر است که این پلاگین را از نمونههای خود غیرفعال یا حذف نمایند.
شرکت اطلاعات تهدید GreyNoise هشدار داده است که مهاجمان در حال تلاش برای اکسپلویت CVE-2025-0108 میباشند. دادههای به اشتراک گذاشته شده توسط این شرکت حاکی از آن است که تلاشهای بهرهبرداری از پنج آدرس IP منحصر به فرد واقع در ایالات متحده، چین و اسرائیل آغاز شده است. این حملات از تاریخ ۱۳ فوریه، ساعت 17:00 به وقت UTC آغاز شدهاند.
در حال حاضر بیش از ۴,۴۰۰ دستگاه PAN-OS وجود دارد که اینترفیس مدیریت آنها بصورت آنلاین قابل دسترس میباشند. به گفته نوآ استون، یک پژوهشگر امنیتی، این آسیب پذیری با شدت بالا به مهاجمان احراز هویت نشده اجازه میدهد تا اسکریپتهای PHP خاصی را اجرا کنند که میتواند منجر به دسترسی غیرمجاز به سیستمهای آسیب پذیر شود.
این آسیب پذیری میتواند باعث بروز مشکلات امنیتی جدی در سیستمهای تحت PAN-OS شود، به ویژه اگر فایلهای حساس حذف شوند. با توجه به عمومی بودن PoC این آسیب پذیری، بسیار محتمل است که اکسپلویت آن در روزهای آینده به اوج خود برسد. از این رو، اعمال سریع بهروزرسانیها و اعمال اقدامات امنیتی مانند محدود کردن دسترسیها ضروری است.
