Rilevamento CVE-2025-0108: Sfruttamento Attivo di un Bypass di Autenticazione nel Software PAN-OS di Palo Alto Networks

[post-views]
Febbraio 20, 2025 · 4 min di lettura
Rilevamento CVE-2025-0108: Sfruttamento Attivo di un Bypass di Autenticazione nel Software PAN-OS di Palo Alto Networks

Una recente vulnerabilità del firewall risolta in Palo Alto Networks PAN-OS, tracciata come CVE-2025-0108, consente ai criminali informatici con accesso di rete all’interfaccia web di gestione di bypassare l’autenticazione ed eseguire determinate script PHP. Sebbene ciò non porti all’esecuzione remota di codice dannoso, questa vulnerabilità critica comporta ancora rischi per l’integrità e la sicurezza dei prodotti PAN-OS. I crescenti tentativi di exploit che combinano CVE-2025-0108, CVE-2024-9474 e CVE-2025-0111 su istanze vulnerabili di PAN-OS richiedono una risposta ultra-reattiva da parte dei difensori.

Rileva Tentativi di Sfruttamento CVE-2025-0108

GitHub indica che entro la fine del 2024, una media di 115 CVE sono stati divulgati quotidianamente, con un aumento del 124% degli attacchi informatici che sfruttano le vulnerabilità durante il Q3 2024. Pertanto, il rilevamento proattivo dello sfruttamento delle vulnerabilità rimane uno dei principali casi d’uso per i difensori informatici a livello globale.

Piattaforma SOC Prime per la difesa informatica collettiva offre una vasta collezione di regole Sigma che affrontano lo sfruttamento delle vulnerabilità, supportate da un’intera suite di prodotti per la ricerca automatizzata delle minacce, l’ingegneria del rilevamento basata sull’IA e il rilevamento delle minacce guidato dall’intelligenza. Una regola Sigma che rileva CVE-2025-0108 è anche inclusa nell’elenco, quindi puoi controllare tutti i dettagli di questo contenuto qui sotto:

Possibile Tentativo di Sfruttamento CVE-2025-0108 (Bypass di Autenticazione PAN-OS) (tramite webserver)

Questa regola del Team SOC Prime è basata sull’exploit PoC pubblicamente accessibile e aiuta a rilevare attacchi che sfruttano CVE-2025-0108 per ottenere accesso iniziale ai sistemi target. Il rilevamento è compatibile con 22 soluzioni SIEM, EDR e Data Lake e mappato a MITRE ATT&CK affrontando tattiche di Accesso Iniziale, con l’Applicazione Pubblica Sfruttata (T1190) come tecnica principale.

Visualizza Regola Sigma

Poiché negli attacchi più recenti il vendor ha osservato che CVE-2025-0108 viene collegato a CVE-2024-9474, gli esperti di sicurezza potrebbero rivedere la collezione di regole che trattano il suo sfruttamento. Le regole sono principalmente riferite alla recente campagna in cui i hacker hanno sfruttato CVE-2024-9474 assieme ad un altro difetto di bypass di autenticazione in PAN-OS (CVE-2024-0012) per compromettere i firewall Palo Alto Networks esposti su Internet. Controlla il set di regole Sigma qui.

Inoltre, i professionisti della sicurezza potrebbero rivedere l’intera collezione di regole che affrontano lo sfruttamento delle vulnerabilità filtrando i contenuti di rilevamento nel Threat Detection Marketplace con un tag “CVE”.

Analisi CVE-2025-0108

Palo Alto Networks avverte che i hacker stanno rapidamente sfruttando CVE-2025-0108 per attacchi in-the-wild. Il problema è stato affrontato nelle versioni di PAN-OS 10.2.14, 11.0.7, 11.2.5 e tutte le versioni successive. Annunciato il 12 febbraio insieme agli aggiornamenti e alle mitigazioni, un bug del firewall recentemente risolto con un punteggio CVSS che raggiunge 8.8 consente l’accesso non autenticato all’interfaccia admin di PAN-OS e l’esecuzione di script PHP. I difensori hanno rilevato i primi tentativi di sfruttamento il 13 febbraio, segnalando l’attività come dannosa con quasi 30 IP unici già compromessi.

Notoriamente, CVE-2025-0108 potrebbe essere combinato con CVE-2024-9474 per ottenere un’esecuzione remota di codice (RCE). Il difetto successivo, che è stato anch’esso riparato, è stato osservato sotto sfruttamento insieme a CVE-2024-0012. La Fondazione Shadowserver ha rilevato exploit in-the-wild con un PoC pubblico e segnalato 3.500 interfacce PAN-OS esposte a metà febbraio.

Come possibili raccomandazioni di mitigazione per CVE-2025-0108 per ridurre i rischi di intrusione, le organizzazioni sono esortate a installare le ultime versioni fisse e a restringere l’accesso all’interfaccia di gestione a un jump box o a IP interni fidati. Sfruttando Piattaforma SOC Prime per la difesa informatica collettiva, le organizzazioni possono stare al passo con gli avversari e proteggere tempestivamente la loro infrastruttura contro gli exploit in-the-wild migliorando la postura di cybersecurity.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Blog, Ultime Minacce — 7 min di lettura
Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Veronika Telychko
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Blog, Ultime Minacce — 6 min di lettura
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Veronika Telychko
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Blog, Ultime Minacce — 5 min di lettura
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Veronika Telychko