Détection de CVE-2025-0108 : Exploitation Active d’une Violation d’Authentification dans le Logiciel PAN-OS de Palo Alto Networks
Table des matières :
Une faille de pare-feu récemment corrigée dans PAN-OS de Palo Alto Networks, suivie comme CVE-2025-0108, permet aux cybercriminels ayant un accès réseau à l’interface web de gestion de contourner l’authentification et d’exécuter certains scripts PHP. Bien que cela ne conduise pas à l’exécution à distance de code malveillant, cette faille critique pose néanmoins des risques pour l’intégrité et la sécurité des produits PAN-OS. Les tentatives croissantes d’exploitation combinant CVE-2025-0108, CVE-2024-9474, et CVE-2025-0111 sur des instances PAN-OS vulnérables nécessitent une ultra-réactivité des défenseurs.
Détecter les Tentatives d’Exploitation de CVE-2025-0108
GitHub indique qu’à la fin de 2024, une moyenne de 115 CVE ont été divulguées quotidiennement, avec une augmentation de 124 % des cyberattaques exploitant les vulnérabilités au cours du troisième trimestre de 2024. Par conséquent, la détection proactive de l’exploitation des vulnérabilités reste l’un des principaux cas d’utilisation pour les défenseurs cyber à l’échelle mondiale.
Plateforme SOC Prime pour la défense cyber collective offre une large collection de règles Sigma adressant l’exploitation des vulnérabilités, soutenue par une suite de produits complète pour la chasse aux menaces automatisée, l’ingénierie de détection alimentée par l’IA, et la détection de menaces dirigée par l’intelligence. Une règle Sigma détectant CVE-2025-0108 est également sur la liste, vous pouvez donc découvrir tous les tenants et aboutissants de ce contenu ci-dessous :
Cette règle par l’équipe SOC Prime est basée sur l’exploit PoC accessible publiquement et aide à détecter les attaques utilisant CVE-2025-0108 pour obtenir un accès initial aux systèmes ciblés. La détection est compatible avec 22 solutions SIEM, EDR, et Data Lake et mappée au MITRE ATT&CK en adressant les tactiques d’Accès Initial, avec Exploiter une Application Publiquement Visible (T1190) comme technique principale.
Comme dans les attaques les plus récentes, le fournisseur a observé le CVE-2025-0108 être enchaîné avec CVE-2024-9474, les experts en sécurité pourraient revoir la collection de règles adressant son exploitation. Les règles se réfèrent principalement à la campagne récente où les hackers ont exploité le CVE-2024-9474 enchaîné avec une autre faille de contournement d’authentification dans PAN-OS (CVE-2024-0012) pour compromettre les pare-feux Palo Alto Networks exposés à Internet. Découvrez l’ensemble des règles Sigma ici.
De plus, les professionnels de la sécurité pourraient examiner l’ensemble des règles adressant l’exploitation des vulnérabilités en filtrant le contenu de détection dans le Threat Detection Marketplace avec un tag “CVE”.
Analyse de CVE-2025-0108
Palo Alto Networks avertit que les pirates exploitent rapidement CVE-2025-0108 pour des attaques en cours. Le problème a été traité dans les versions PAN-OS 10.2.14, 11.0.7, 11.2.5, et toutes les versions ultérieures. Annoncée le 12 février avec des mises à jour et des mesures d’atténuation, une faille de pare-feu récemment corrigée avec un score CVSS atteignant 8,8 permet un accès non authentifié à l’interface d’administration de PAN-OS et l’exécution de scripts PHP. Les défenseurs ont repéré les premières tentatives d’exploitation le 13 février, signalant l’activité comme malveillante avec près de 30 IP uniques déjà compromises.
Notamment, le CVE-2025-0108 pourrait être enchaîné avec le CVE-2024-9474 pour obtenir un RCE. Cette dernière faille, qui a également été corrigée, est repérée sous exploitation aux côtés de CVE-2024-0012. La Shadowserver Foundation a détecté des exploits en cours avec un PoC public et a rapporté 3500 interfaces PAN-OS exposées à la mi-février.
Comme recommandations possibles d’atténuation pour CVE-2025-0108 afin de réduire les risques d’intrusion, il est conseillé aux organisations d’installer les dernières versions corrigées et de restreindre l’accès à l’interface de gestion à un jump box ou à des IP internes de confiance. En tirant parti de Plateforme SOC Prime pour la défense cyber collective, les organisations peuvent anticiper les adversaires et protéger en temps opportun leur infrastructure contre les exploits en cours, tout en renforçant leur posture de cybersécurité.
