CVE-2025-0108 Detection: Active Exploitation of an Authentication Bypass Palo Alto Networks PAN-OS Software

Palo Alto NetworksのPAN-OSにおける最近修正されたファイアウォールの脆弱性、CVE-2025-0108として追跡され、ネットワークアクセスを持つサイバー犯罪者が管理ウェブインターフェイスを通じて認証を回避し、特定のPHPスクリプトを実行できることを可能にします。これは悪意のあるコードのリモート実行には至らないものの、この重大な脆弱性はPAN-OS製品の整合性と安全性に危険を及ぼします。脆弱なPAN-OSインスタンスにおけるCVE-2025-0108、CVE-2024-9474、およびCVE-2025-0111を組み合わせた攻撃の増加により、防御側には超迅速な対応が求められています。

CVE-2025-0108の攻撃試行を検出

GitHubの情報によると、2024年末までに115件のCVEが毎日開示され、2024年第3四半期中に脆弱性を活用したサイバー攻撃が124%増加しました。したがって、脆弱性の悪用のプロアクティブな検出は、世界中のサイバー防御者にとって最重要の使用ケースの1つであり続けます。

SOC Primeプラットフォーム 集合的なサイバー防御のために、脆弱性の悪用に対応するSigmaルールの幅広いコレクションを提供し、自動化された脅威ハンティング、AI駆動の検出エンジニアリング、および情報主導の脅威検出の完全な製品スイートをバックアップしています。CVE-2025-0108を検出するSigmaルールもリストに含まれているため、コンテンツの詳細を以下でチェックできます。

可能性のあるCVE-2025-0108（PAN-OS認証バイパス）攻撃試行（ウェブサーバー経由）

SOC Primeチームによるこのルールは、公開アクセス可能なPoCエクスプロイトに基づいており、CVE-2025-0108を活用してターゲットシステムへの初期アクセスを取得する攻撃を検出するのに役立ちます。この検出は22のSIEM、EDR、およびデータレイクソリューションと互換性があり、MITRE ATT&CKの初期アクセス戦術に対応しており、主要な技術としてPublic-Facing Applicationのエクスプロイト（T1190）に関連付けられています。

Sigmaルールを表示

最近の攻撃では、ベンダーがCVE-2025-0108がCVE-2024-9474と連鎖して使用されることを観察しているため、セキュリティ専門家はその悪用に対応するルールコレクションを確認するかもしれません。これらのルールは主に最近のキャンペーンに関連しており、CVE-2024-9474とPAN-OSの別の認証バイパス脆弱性（CVE-2024-0012）を連鎖させてインターネットに露出したPalo Alto Networksのファイアウォールを侵害するために使用されました。Sigmaルールセットを確認するには こちら。

加えて、セキュリティの専門家は、Threat Detection Marketplaceで検出コンテンツをフィルタリングして、脆弱性の悪用に対応したルールコレクション全体を確認することができます 「CVE」タグ.

CVE-2025-0108分析

Palo Alto Networks は、ハッカーが迅速に CVE-2025-0108 を使って実行中の攻撃を仕掛けていることを警告しています。この問題は、PAN-OSバージョン10.2.14、11.0.7、11.2.5、およびそれ以降のすべてのリリースで対応されています。2月12日に発表されたアップデートと緩和策に加えて、CVSSスコア8.8に達した最近修正されたファイアウォールのバグにより、認証されていない状態でPAN-OS管理インターフェイスにアクセスし、PHPスクリプトを実行することが可能になります。2月13日に最初の悪用試行が発見され、活動が悪意のあるものとしてフラグされ、すでに約30のユニークなIPが危険にさらされています。

特に、CVE-2025-0108はCVE-2024-9474と連鎖してRCEを達成することができます。後者の脆弱性も修正されており、CVE-2024-0012と共に悪用されています。Shadowserver Foundationは、公開されたPoCを伴って実際の悪用を検出し、 中旬の時点で3,500の露出したPAN-OSインターフェイスを報告しました 。

CVE-2025-0108による侵入のリスクを軽減するための可能な緩和策として、組織は最新の修正済みバージョンをインストールし、管理インターフェイスへのアクセスをジャンプボックスまたは信頼された内部IPに制限することを求められています。 SOC Primeプラットフォーム 集合的なサイバー防御に活用することで、組織は敵に先んじて、実生活で起こる悪用に対抗してインフラストラクチャをタイムリーに保護しつつ、サイバーセキュリティの姿勢を強化することができるでしょう。