CVE-2025-0108 Erkennung: Aktive Ausnutzung einer Authentifizierungsumgehung in Palo Alto Networks PAN-OS-Software

[post-views]
Februar 20, 2025 · 3 min zu lesen
CVE-2025-0108 Erkennung: Aktive Ausnutzung einer Authentifizierungsumgehung in Palo Alto Networks PAN-OS-Software

Eine kürzlich gepatchte Firewall-Schwachstelle in Palo Alto Networks PAN-OS, verfolgt als CVE-2025-0108, ermöglicht es Cyberkriminellen mit Netzwerkzugang zur Management-Webschnittstelle, die Authentifizierung zu umgehen und bestimmte PHP-Skripte auszuführen. Obwohl dies nicht zur Remote-Ausführung von bösartigem Code führt, stellt diese kritische Schwachstelle dennoch Risiken für die Integrität und Sicherheit von PAN-OS-Produkten dar. Die zunehmenden Ausbeutungsversuche, die CVE-2025-0108, CVE-2024-9474 und CVE-2025-0111 auf anfälligen PAN-OS-Instanzen kombinieren, erfordern eine ultra-schnelle Reaktionsfähigkeit der Verteidiger.

Erkennung von CVE-2025-0108-Ausbeutungsversuchen

GitHub gibt an, dass bis Ende 2024 durchschnittlich 115 CVEs täglich offengelegt wurden, mit einem Anstieg der Cyberangriffe um 124 %, die Schwachstellen im dritten Quartal 2024 ausnutzen. Daher bleibt die proaktive Erkennung der Ausbeutung von Schwachstellen eine der wichtigsten Anwendungsfälle für Cyber-Verteidiger weltweit.

SOC Prime Plattform für kollektive Cyber-Verteidigung bietet eine breite Sammlung von Sigma-Regeln zur Adressierung von Schwachstellenausbeutung, unterstützt durch eine vollständige Produktsuite für automatisierte Bedrohungssuche, KI-gestützte Erkennungsentwicklung und intelligence-geleitete Bedrohungserkennung. Eine Sigma-Regel zur Erkennung von CVE-2025-0108 steht ebenfalls auf der Liste, sodass Sie alle Details dieses Inhalts unten überprüfen können:

Möglicher CVE-2025-0108 (PAN-OS Authentifizierungsumgehung) Ausbeutungsversuch (über Webserver)

Diese Regel des SOC Prime Teams basiert auf dem öffentlich zugänglichen PoC-Exploit und hilft, Angriffe zu erkennen, die CVE-2025-0108 nutzen, um anfänglichen Zugriff auf die anvisierten Systeme zu erlangen. Die Erkennung ist kompatibel mit 22 SIEM-, EDR- und Data-Lake-Lösungen und auf MITRE ATT&CK abgebildet, wobei die anfänglichen Zugriffstaktiken mit Exploit Public-Facing Application (T1190) als Haupttechnik adressiert werden.

Sigma-Regel anzeigen

Da in den jüngsten Angriffen der Anbieter beobachtet hat, dass CVE-2025-0108 mit CVE-2024-9474 verkettet wird, könnten Sicherheitsexperten die Regelkollektion überprüfen, die seine Ausbeutung adressiert. Die Regeln beziehen sich hauptsächlich auf die kürzliche Kampagne, bei der Hacker CVE-2024-9474 verkettet mit einem weiteren Auth-Bypass-Fehler in PAN-OS (CVE-2024-0012) nutzten, um öffentlich zugängliche Palo Alto Networks Firewalls zu kompromittieren. Überprüfen Sie das Sigma-Regelset hier.

Zusätzlich könnten Sicherheitsexperten die gesamte Regelkollektion zur Adressierung von Schwachstellenausbeutung überprüfen, indem sie die Erkennungsinhalte im Threat Detection Marketplace mit einem „CVE“-Tag.

CVE-2025-0108 Analyse

Palo Alto Networks warnt davor, dass Hacker schnell CVE-2025-0108 für Angriffe in freier Wildbahn nutzen. Das Problem wurde in den PAN-OS-Versionen 10.2.14, 11.0.7, 11.2.5 und allen nachfolgenden Veröffentlichungen behoben. Am 12. Februar angekündigt, zusammen mit Updates und Abschwächungen erlaubt ein kürzlich behobener Firewall-Fehler mit einem CVSS-Wert von 8,8 nicht authentifizierten Zugriff auf die PAN-OS-Admin-Schnittstelle und die Ausführung von PHP-Skripten. Die Verteidiger entdeckten die ersten Ausbeutungsversuche am 13. Februar und kennzeichneten die Aktivität als bösartig mit fast 30 bereits kompromittierten einzigartigen IPs.

Bemerkenswerterweise könnte CVE-2025-0108 mit CVE-2024-9474 verkettet werden, um RCE zu erreichen. Der letztere Fehler, der ebenfalls gepatcht wurde, wird unter Ausbeutung neben CVE-2024-0012 gesichtet. Die Shadowserver Foundation entdeckte in freier Wildbahn Exploits mit einem öffentlichen PoC und berichtete 3.500 exponierte PAN-OS Schnittstellen bis Mitte Februar.

Als mögliche Abschwächungsempfehlungen für CVE-2025-0108 zur Risikominderung der Intrusion werden Organisationen aufgefordert, die neuesten gepatchten Versionen zu installieren und den Zugriff auf die Management-Schnittstelle auf einen Jump-Box oder vertrauenswürdige interne IPs zu beschränken. Durch die Nutzung von SOC Prime Plattform für kollektive Cyber-Verteidigung können Organisationen den Angreifern einen Schritt voraus bleiben und ihre Infrastruktur rechtzeitig vor Exploits in freier Wildbahn schützen, während sie ihre Cyber-Sicherheitshaltung stärken.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

CVE-2025-49144 Sicherheitslücke: Kritische Privilegieneskalationslücke in Notepad++ führt zur vollständigen Systemübernahme
Blog, Neueste Bedrohungen — 5 min zu lesen
CVE-2025-49144 Sicherheitslücke: Kritische Privilegieneskalationslücke in Notepad++ führt zur vollständigen Systemübernahme
Veronika Telychko
CVE-2025-6018 und CVE-2025-6019 Sicherheitslücken-Ausnutzung: Ketten von lokalen Privilegieneskalations-Schwachstellen ermöglichen Angreifern Root-Zugriff auf den meisten Linux-Distributionen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-6018 und CVE-2025-6019 Sicherheitslücken-Ausnutzung: Ketten von lokalen Privilegieneskalations-Schwachstellen ermöglichen Angreifern Root-Zugriff auf den meisten Linux-Distributionen
Veronika Telychko
CVE-2025-4123 Schwachstelle: „Der Grafana-Phantom“ Zero-Day ermöglicht bösartige Kontenübernahme
Blog, Neueste Bedrohungen — 5 min zu lesen
CVE-2025-4123 Schwachstelle: „Der Grafana-Phantom“ Zero-Day ermöglicht bösartige Kontenübernahme
Veronika Telychko