Des pirates informatiques lancent des attaques contre les pare-feu PAN-OS de Palo Alto Networks en exploitant une vulnérabilité récemment corrigée (CVE-2025-0108) qui permet de contourner l’authentification.
Le problème de sécurité a reçu un score de gravité élevé et affecte l’interface Web de gestion PAN-OS et permet à un attaquant non authentifié sur le réseau de contourner l’authentification et d’invoquer certains scripts PHP, compromettant potentiellement l’intégrité et la confidentialité.
Dans un bulletin de sécurité du 12 février, Palo Alto Networks exhorte les administrateurs à mettre à niveau les pare-feu vers les versions ci-dessous pour résoudre le problème:
- 11.2.4-h4 ou version ultérieure
- 11.1.6-h1 ou version ultérieure
- 10.2.13-h3 ou version ultérieure
- 10.1.14-h9 ou version ultérieure
PANOS 11.0 est également impacté mais le produit a atteint la fin de vie (EoL) et Palo Alto Networks ne prévoit pas de publier de correctifs pour celui-ci. Pour cette raison, il est fortement recommandé aux utilisateurs de passer à une version prise en charge à la place.
La vulnérabilité a été découverte et signalée à Palo Alto Networks par des chercheurs en sécurité d’Asset note. Ils ont également publié un article avec tous les détails d’exploitation lors de la sortie du correctif.
Les chercheurs ont démontré comment la faille pouvait être exploitée pour extraire des données système sensibles, récupérer des configurations de pare-feu ou potentiellement manipuler certains paramètres dans PAN-OS.
L’exploit exploite une confusion de chemin entre Nginx et Apache dans PAN-OS qui permet de contourner l’authentification.
Les attaquants disposant d’un accès réseau à l’interface de gestion peuvent en tirer parti pour recueillir des renseignements en vue de nouvelles attaques ou pour affaiblir les défenses de sécurité en modifiant les paramètres accessibles.
La plate-forme de surveillance des menaces GreyNoise a consigné les tentatives d’exploitation ciblant les pare-feu PAN-OS non corrigés.
Les attaques ont débuté le 13 février à 17h00 UTC et semblent provenir de plusieurs adresses IP, indiquant potentiellement des efforts d’exploitation de la part d’acteurs distincts de la menace.
En ce qui concerne l’exposition des appareils vulnérables en ligne, le chercheur de Macnica, Yutaka Sugiyama, a déclaré à Breachtrace qu’il existe actuellement plus de 4 400 appareils PAN-OS exposant leur interface de gestion en ligne.
Pour se défendre contre l’activité d’exploitation en cours, qui, considérant que le PoC est public, est très susceptible de culminer dans les jours suivants, il est recommandé d’appliquer les correctifs disponibles et de restreindre l’accès aux interfaces de gestion du pare-feu.