CVE-2025-0108 Detecção: Exploração Ativa de uma Bypass de Autenticação no Software Palo Alto Networks PAN-OS

[post-views]
Fevereiro 20, 2025 · 4 min de leitura
CVE-2025-0108 Detecção: Exploração Ativa de uma Bypass de Autenticação no Software Palo Alto Networks PAN-OS

Uma vulnerabilidade de firewall recentemente corrigida no PAN-OS da Palo Alto Networks, identificada como CVE-2025-0108, permite que cibercriminosos com acesso à rede à interface web de gerenciamento ignorem a autenticação e executem determinados scripts PHP. Embora isso não resulte na execução remota de código malicioso, essa falha crítica ainda representa riscos para a integridade e segurança dos produtos PAN-OS. As crescentes tentativas de exploração combinando CVE-2025-0108, CVE-2024-9474 e CVE-2025-0111 em instâncias vulneráveis de PAN-OS exigem ultra-responsividade dos defensores.

Detectar Tentativas de Exploração do CVE-2025-0108

O GitHub indica que, no final de 2024, uma média de 115 CVEs foram divulgados diariamente, com um aumento de 124% nos ataques cibernéticos aproveitando vulnerabilidades durante o terceiro trimestre de 2024. Portanto, a detecção proativa da exploração de vulnerabilidades continua sendo um dos principais casos de uso para defensores cibernéticos globalmente.

Plataforma SOC Prime para defesa cibernética coletiva oferece uma ampla coleção de regras Sigma abordando a exploração de vulnerabilidades, apoiada por um conjunto completo de produtos para caça automatizada de ameaças, engenharia de detecção com IA e detecção de ameaças liderada por inteligência. Uma regra Sigma que detecta o CVE-2025-0108 também está na lista, então você pode conferir todos os detalhes sobre esse conteúdo abaixo:

Possível Tentativa de Exploração do CVE-2025-0108 (Bypass de Autenticação PAN-OS) (via servidor web)

Essa regra da Equipe SOC Prime é baseada no exploit PoC acessível publicamente e ajuda a detectar ataques que aproveitam o CVE-2025-0108 para obter acesso inicial aos sistemas alvo. A detecção é compatível com 22 soluções de SIEM, EDR e Data Lake e mapeada para MITRE ATT&CK abordando táticas de Acesso Inicial, com Explorar Aplicação Pública (T1190) como técnica principal.

Ver Regra Sigma

Como nos ataques mais recentes o fornecedor observou o CVE-2025-0108 sendo encadeado com o CVE-2024-9474, especialistas em segurança podem revisar a coleção de regras abordando sua exploração. As regras referem-se principalmente à campanha recente em que hackers aproveitaram o CVE-2024-9474 encadeado com outra falha de bypass de autenticação no PAN-OS (CVE-2024-0012) para comprometer firewalls expostos à internet da Palo Alto Networks. Confira o conjunto de regras Sigma aqui.

Além disso, os profissionais de segurança podem revisar a coleção completa de regras que abordam a exploração de vulnerabilidades filtrando o conteúdo de detecção no Mercado de Detecção de Ameaças com a tag “CVE”.

Análise do CVE-2025-0108

A Palo Alto Networks alerta que hackers estão rapidamente aproveitando o CVE-2025-0108 para ataques no ambiente selvagem. O problema foi abordado nas versões do PAN-OS 10.2.14, 11.0.7, 11.2.5, e em todos os lançamentos subsequentes. Anunciada em 12 de fevereiro juntamente com atualizações e mitigações, uma falha de firewall recentemente corrigida com uma pontuação CVSS que chega a 8.8 permite acesso não autenticado à interface de administração do PAN-OS e execução de scripts PHP. Defensores avistaram as primeiras tentativas de exploração em 13 de fevereiro, sinalizando a atividade como maliciosa com quase 30 IPs únicos já comprometidos.

Notavelmente, o CVE-2025-0108 pode ser encadeado com o CVE-2024-9474 para alcançar RCE. A última falha, que também foi corrigida, é observada sob exploração juntamente com o CVE-2024-0012. A Shadowserver Foundation detectou explorações no ambiente selvagem com um PoC público e relatou 3.500 interfaces PAN-OS expostas a partir de meados de fevereiro.

Como possíveis recomendações de mitigação para o CVE-2025-0108 para reduzir os riscos de intrusão, as organizações são instadas a instalar as versões corrigidas mais recentes e restringir o acesso à interface de gerenciamento a uma jump box ou IPs internos confiáveis. Ao aproveitar Plataforma SOC Prime para defesa cibernética coletiva, as organizações podem se antecipar aos adversários e proteger prontamente sua infraestrutura contra explorações no ambiente selvagem enquanto fortalecem a postura de cibersegurança.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Ameaças Mais Recentes, Blog — 7 min de leitura
CVE-2025-49144 Vulnerabilidade: Falha Crítica de Escalonamento de Privilégios no Notepad++ Leva à Tomada Completa do Sistema
Veronika Telychko
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Ameaças Mais Recentes, Blog — 6 min de leitura
Exploração de Vulnerabilidades CVE-2025-6018 e CVE-2025-6019: Cadeia de Falhas de Escalada de Privilégio Local Permite que Atacantes Ganhem Acesso Root na Maioria das Distribuições Linux
Veronika Telychko
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Ameaças Mais Recentes, Blog — 6 min de leitura
Vulnerabilidade CVE-2025-4123: “O Fantasma do Grafana” Zero-Day Facilita o Sequestro Malicioso de Contas
Veronika Telychko