Palo Alto Networks waarschuwt voor aanvallen op PAN-OS-firewalls

Het gaat om CVE-2025-0111, een bestandsleeskwetsbaarheid in PAN-OS die geauthenticeerde aanvallers met netwerktoegang tot de beheerdersinterface in staat bestanden te lezen die toegankelijk zijn. Palo Alto Networks waarschuwt dat kwaadwillenden deze kwetsbaarheid actief uitbuiten, en daarbij CVE-2025-0111 combineren met CVE-2025-0108 en CVE-2024-9474.

Proof-of-concept-exploit

De leverancier maakte de authenticatie-bypasskwetsbaarheid CVE-2025-0108 op 12 februari 2025 bekend en bracht toen direct patches uit die de kwetsbaarheid dichten. Op dezelfde dag publiceerden onderzoekers van Assetnote een proof-of-concept-exploit die laat zien hoe CVE-2025-0108 en CVE-2024-9474 samen kunnen worden gebruikt om rootrechten te verkrijgen op niet-gepatchte PAN-OS-firewalls.

Een dag later meldde het netwerkbeveiligingsbedrijf GreyNoise al dat aanvallers de kwetsbaarheden actief misbruiken. CVE-2024-9474, een kwetsbaarheid voor privilege-escalatie in PAN-OS, is al in november 2024 gedicht. Dit lek stelt een PAN-OS-beheerder in staat om met rootrechten commando’s uit te voeren.

"Palo Alto Networks heeft exploitpogingen waargenomen waarbij CVE-2025-0108 wordt gecombineerd met CVE-2024-9474 en CVE-2025-0111 op niet-gepatchte en onbeveiligde PAN-OS webbeheerinterfaces", schrijft Palo Alto Networks in een security bulletin. Meer informatie is hier beschikbaar.