CVE-2025-0111

Palo Alto Networks PAN-OS

ВЕРОЯТНОСТЬ 3.6%
Дата обнаружения

2025-02-20

Официальное описание

Palo Alto Networks PAN-OS contains an external control of file name or path vulnerability. Successful exploitation enables an authenticated attacker with network access to the management web interface to read files on the PAN-OS filesystem that are readable by the “nobody” user.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-0111 представляет собой уязвимость типа External Control of File Name or Path (внешнее управление именем или путем к файлу) в веб-интерфейсе управления PAN-OS.

Уязвимость позволяет аутентифицированному злоумышленнику, имеющему сетевой доступ к интерфейсу управления (Management Interface), манипулировать путями файлов. В результате атакующий может прочитать произвольные файлы на файловой системе PAN-OS, к которым имеет доступ системный пользователь nobody. Это может привести к раскрытию конфиденциальной информации, конфигурационных данных или системных логов.

Как исправить

Основным способом устранения уязвимости является обновление PAN-OS до исправленной версии. Palo Alto Networks выпустила соответствующие патчи для всех поддерживаемых веток.

Необходимо установить одну из следующих версий (или более новую): * PAN-OS 11.2.5 * PAN-OS 11.1.6 * PAN-OS 10.2.13 * PAN-OS 10.1.15

Процесс обновления через CLI:

  1. Проверьте наличие доступных обновлений:
request system software check
  1. Загрузите необходимую версию (например, 11.2.5):
request system software download version 11.2.5
  1. Установите обновление:
request system software install version 11.2.5
  1. Перезагрузите устройство для применения изменений:
request system reboot

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие защитные меры для минимизации риска эксплуатации:

  1. Ограничение доступа к Management Interface: Настройте списки контроля доступа (ACL), чтобы разрешить доступ к веб-интерфейсу управления только с доверенных IP-адресов или из выделенного сегмента сети управления (OOB Management).

  2. Использование Service Routes: Убедитесь, что интерфейс управления не опубликован в открытых сетях. Используйте Service Routes для перенаправления трафика управления через защищенные каналы.

  3. Мониторинг системных логов: Настройте отправку логов на внешний Syslog-сервер или SIEM и отслеживайте подозрительную активность, связанную с доступом к веб-интерфейсу.

  4. Применение сигнатур IPS: Если перед интерфейсом управления находится межсетевой экран с активной подпиской Threat Prevention, убедитесь, что установлены последние динамические обновления (Content Updates). Проверьте наличие и активацию сигнатур для CVE-2025-0111 (ID 95134 и выше).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей