CVE-2025-0108

Palo Alto Networks PAN-OS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-02-18

Официальное описание

Palo Alto Networks PAN-OS contains an authentication bypass vulnerability in its management web interface. This vulnerability allows an unauthenticated attacker with network access to the management web interface to bypass the authentication normally required and invoke certain PHP scripts.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-0108 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в веб-интерфейсе управления PAN-OS. Проблема вызвана некорректной логикой обработки запросов, что позволяет неавторизованному злоумышленнику, имеющему сетевой доступ к интерфейсу управления, обращаться к определенным PHP-скриптам в обход стандартных механизмов проверки прав.

Уязвимость затрагивает только плоскость управления (Management Plane). Трафик, проходящий через устройство (Data Plane), не подвержен данной проблеме. Успешная эксплуатация может привести к частичному или полному контролю над настройками устройства.

Как исправить

Основным и рекомендуемым способом устранения является обновление PAN-OS до исправленной версии. Palo Alto Networks выпустила патчи для всех поддерживаемых веток.

  1. Проверьте текущую версию PAN-OS в веб-интерфейсе (Dashboard) или через CLI:
show system info | match sw-version
  1. Загрузите и установите соответствующее обновление:
  2. PAN-OS 11.2: обновитесь до 11.2.4-h1 или выше.
  3. PAN-OS 11.1: обновитесь до 11.1.5-h1 или выше.

  4. PAN-OS 10.2: обновитесь до 10.2.12-h2 или выше.

  5. Команда для загрузки образа через CLI (пример для 10.2.12-h2):

request system software download version 10.2.12-h2
  1. Команда для установки и перезагрузки:
request system software install version 10.2.12-h2
request system reboot

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки, следуя принципам Best Practices от Palo Alto Networks.

  1. Ограничение доступа по IP (ACL): Настройте список разрешенных IP-адресов для доступа к интерфейсу управления, чтобы исключить возможность подключения из недоверенных сегментов сети.
set deviceconfig system setting management-acl addresses [IP_ADDRESS/MASK]

  1. Изоляция интерфейса управления: Убедитесь, что интерфейс управления (MGT) не доступен напрямую из интернета. Он должен находиться в выделенном сегменте (Management VLAN) с доступом только через защищенный VPN или Jump-хост.

  2. Использование профилей защиты (для In-Band Management): Если вы используете интерфейс данных для управления (через HTTPS Service Profile), убедитесь, что на соответствующих политиках безопасности включен профиль Vulnerability Protection с актуальными сигнатурами (ID 95371 и выше).

  3. Мониторинг логов: Проверяйте логи системных событий на предмет подозрительной активности в веб-интерфейсе:

show log system direction equal backward
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей