Palo Alto Networks avertit qu’une vulnérabilité de lecture de fichier (CVE-2025-0111) est maintenant enchaînée dans des attaques avec deux autres failles (CVE-2025-0108 avec CVE-2024-9474) pour violer les pare-feu PAN-OS lors d’attaques actives.
Le fournisseur a d’abord divulgué la vulnérabilité de contournement d’authentification CVE-2025-0108 le 12 février 2025, publiant des correctifs pour corriger la vulnérabilité. Le même jour, les chercheurs d’Assetnote ont publié un exploit de validation de principe démontrant comment CVE-2025-0108 et CVE-2024-9474 pouvaient être enchaînés pour obtenir des privilèges root sur des pare-feu PAN-OS non corrigés.
Un jour plus tard, la firme de renseignement sur les menaces réseau GreyNoise a rapporté que les acteurs de la menace avaient commencé à exploiter activement les failles, avec des tentatives provenant de deux adresses IP.
CVE-2024-9474 est une faille d’élévation de privilèges dans PAN-OS corrigée en novembre 2024 qui permet à un administrateur PAN-OS d’exécuter des commandes sur des pare-feu avec des privilèges root. Palo Alto Networks a averti lors de la divulgation que la vulnérabilité avait été exploitée comme un jour zéro.
CVE-2025-0111 est une vulnérabilité de lecture de fichiers dans PAN-OS, permettant à des attaquants authentifiés disposant d’un accès réseau à l’interface Web de gestion de lire des fichiers lisibles par l’utilisateur « personne ».
La faille CVE-2025-0111 a également été corrigée le 12 février 2025, mais le fournisseur a mis à jour son bulletin aujourd’hui pour avertir qu’elle est également désormais utilisée dans une chaîne d’exploits avec les deux autres vulnérabilités dans les attaques actives.
« Palo Alto Networks a observé des tentatives d’exploitation enchaînant CVE-2025-0108 avec CVE-2024-9474 et CVE-2025-0111 sur des interfaces de gestion Web PAN-OS non corrigées et non sécurisées », lit-on dans le bulletin mis à jour.
Bien que Palo Alto Networks n’ait pas expliqué comment la chaîne d’exploitation est utilisée de manière abusive, Breachtrace a été informé qu’ils pourraient être enchaînés pour télécharger des fichiers de configuration et d’autres informations sensibles.
L’activité d’exploitation augmente
Non seulement la portée s’est élargie, mais une mise à jour du bulletin de GreyNoise indique que l’activité d’exploitation s’est également accélérée.
GreyNoise rapporte maintenant voir 25 adresses IP ciblant CVE-2025-0108, alors que son rapport initial du 13 février n’en enregistrait que deux.
Les principales sources des attaques sont les États-Unis, l’Allemagne et les Pays-Bas, bien que cela ne signifie pas que les attaquants sont réellement basés dans ces endroits.
Le chercheur de Macnica, Yutaka Sejiyama, a déclaré à Breachtrace que ses analyses ont renvoyé des milliers d’appareils PAN-OS qui exposent leur interface de gestion Web à Internet.
« Pour les nouveaux correctifs CVE-2025-0108 et CVE-2025-0111, la majorité des serveurs qui exposent publiquement leur interface de gestion Web ne sont toujours pas corrigés », a déclaré Sejiyama à Breachtrace .
« Sur 3 490 serveurs faisant face à Internet, seules quelques dizaines ont appliqué le correctif. »
Parmi ces appareils exposés, 1 168 n’ont pas corrigé CVE-2025-0108 et CVE-2025-0111 mais ont corrigé CVE-2024-9474.
Le chercheur a déclaré qu’en considérant les trois failles enchaînées dans les attaques, 65% (2 262 appareils) restent vulnérables à au moins l’une d’entre elles.
Au milieu de cette situation et de cette exploitation active, l’Agence américaine de cybersécurité et de sécurité des Infrastructures (ISA) a ajouté CVE-2025-0108 à son catalogue de « Vulnérabilités exploitées connues » (KEV).
L’organisation a donné aux agences fédérales jusqu’au 11 mars 2025 pour appliquer les mises à jour/atténuations disponibles ou cesser d’utiliser le produit.