Detección de CVE-2025-0108: Explotación Activa de una Omisión de Autenticación en el Software PAN-OS de Palo Alto Networks
Tabla de contenidos:
Una reciente vulnerabilidad de firewall parcheada en PAN-OS de Palo Alto Networks, rastreada como CVE-2025-0108, permite a los ciberdelincuentes con acceso a la red a la interfaz web de gestión eludir la autenticación y ejecutar ciertos scripts PHP. Aunque esto no conduce a la ejecución remota de código malicioso, esta vulnerabilidad crítica aún representa riesgos para la integridad y seguridad de los productos PAN-OS. Los crecientes intentos de explotación que combinan CVE-2025-0108, CVE-2024-9474 y CVE-2025-0111 en instancias vulnerables de PAN-OS requieren una ultra-responsividad de los defensores.
Detectar Intentos de Explotación de CVE-2025-0108
GitHub indica que a finales de 2024, un promedio de 115 CVEs se divulgaban diariamente, con un aumento del 124 % en los ciberataques que aprovechaban vulnerabilidades durante el tercer trimestre de 2024. Por lo tanto, la detección proactiva de la explotación de vulnerabilidades sigue siendo uno de los principales casos de uso para los defensores cibernéticos a nivel mundial.
Plataforma SOC Prime para defensa cibernética colectiva ofrece una amplia colección de reglas Sigma que abordan la explotación de vulnerabilidades, respaldada por un conjunto completo de productos para búsqueda automatizada de amenazas, ingeniería de detección impulsada por IA y detección de amenazas basada en inteligencia. Una regla Sigma que detecta CVE-2025-0108 también está en la lista, así que puedes consultar todos los detalles de este contenido a continuación:
Esta regla del equipo SOC Prime se basa en el exploit PoC accesible públicamente y ayuda a detectar ataques que utilizan CVE-2025-0108 para obtener acceso inicial a los sistemas objetivo. La detección es compatible con 22 soluciones SIEM, EDR y Data Lake y está mapeada a MITRE ATT&CK abordando tácticas de Acceso Inicial, con Aplicación Expuesta a Público (T1190) como técnica principal.
Como en los ataques más recientes el proveedor observó el encadenamiento de CVE-2025-0108 con CVE-2024-9474, los expertos en seguridad podrían revisar la colección de reglas que abordan su explotación. Las reglas se refieren principalmente a la campaña reciente donde los hackers aprovecharon CVE-2024-9474 encadenado con otra falla de elusión de autenticación en PAN-OS (CVE-2024-0012) para comprometer firewalls de Palo Alto Networks expuestos a internet. Consulta el conjunto de reglas Sigma aquí.
Además, los profesionales de seguridad podrían revisar la colección completa de reglas que abordan la explotación de vulnerabilidades filtrando el contenido de detección en el Mercado de Detección de Amenazas con una etiqueta “CVE”.
Análisis de CVE-2025-0108
Palo Alto Networks advierte que los hackers están aprovechando rápidamente CVE-2025-0108 para ataques en la naturaleza. El problema se ha abordado en las versiones 10.2.14, 11.0.7, 11.2.5 de PAN-OS y todas las versiones posteriores. Anunciado el 12 de febrero junto con actualizaciones y mitigaciones, un error reciente de firewall corregido con una puntuación CVSS que alcanza 8.8 permite el acceso no autenticado a la interfaz de administración de PAN-OS y la ejecución de scripts PHP. Los defensores detectaron los primeros intentos de explotación el 13 de febrero, marcando la actividad como maliciosa con casi 30 IP únicas ya comprometidas.
Es notable que CVE-2025-0108 podría encadenarse con CVE-2024-9474 para lograr RCE. Esta última vulnerabilidad, que también ha sido parcheada, se detecta bajo explotación junto a CVE-2024-0012. La Fundación Shadowserver detectó explotaciones en la naturaleza con un PoC público y reportó 3,500 interfaces PAN-OS expuestas a mediados de febrero.
Como posibles recomendaciones de mitigación para CVE-2025-0108 para reducir los riesgos de intrusión, se insta a las organizaciones a instalar las últimas versiones corregidas y restringir el acceso a la interfaz de gestión a un jump box o IPs internas de confianza. Al aprovechar Plataforma SOC Prime para la defensa cibernética colectiva, las organizaciones pueden adelantarse a los adversarios y salvaguardar oportunamente su infraestructura contra las explotaciones en la naturaleza mientras fortalecen la postura de ciberseguridad.