Menu dostępności

Uwaga na nową dziurę w firewallu Palo Alto! Można zrestartować system zdalnie i bez uwierzytelnienia

Uwaga na nową dziurę w firewallu Palo Alto! Można zrestartować system zdalnie i bez uwierzytelnienia

W systemie operacyjnym PAN-OS, stosowanym w zaporach sieciowych Palo Alto Networks, wykryto poważną podatność typu odmowa usługi (DoS), oznaczoną jako CVE-2025-0128. Luka umożliwia zdalnym, nieautoryzowanym atakującym wywoływanie ponownych uruchomień systemu przy użyciu specjalnie spreparowanych pakietów, co może skutkować wprowadzeniem urządzenia w tryb konserwacji i jego czasową niedostępnością. Ostatnio o innej groźnej luce w interfejsie Web urządzeń Palo Alto pisaliśmy w walentynki.

Szczegóły techniczne CVE-2025-0128

Luka została wykryta przez badacza bezpieczeństwa znanego pod pseudonimem Abyss Watcher. To kolejny przykład skutecznej współpracy między społecznością specjalistów ds. cyberbezpieczeństwa a producentami rozwiązań sieciowych.

Podatność została zlokalizowana w komponencie odpowiedzialnym za uwierzytelnianie protokołu SCEP (Simple Certificate Enrollment Protocol). Atakujący może przesłać odpowiednio zmodyfikowane pakiety, które prowadzą do awarii systemu i jego restartu.

Wielokrotne wykorzystanie tej luki może wymusić na zaporze przejście w tryb maintenance mode, co uniemożliwia jej normalne funkcjonowanie. Klasyfikacja podatności wskazuje na problemy z prawidłowym przetwarzaniem danych wejściowych (CWE-754: Improper Check for Unusual or Exceptional Conditions oraz CAPEC-153: Manipulacja danymi wejściowymi).

Możliwe konsekwencje ataku

Skuteczne wykorzystanie podatności może prowadzić do poważnych zakłóceń działania sieci. Powtarzające się restarty zapory mogą wywołać paraliż infrastruktury bezpieczeństwa, co w przypadku kluczowych systemów może skutkować brakiem dostępu do usług, przestojami operacyjnymi i zwiększonym ryzykiem wtórnych ataków.

Wersje PAN-OS podatne na atak

Podatność dotyczy wielu wersji PAN-OS, w tym:

  • PAN-OS 11.2 (przed wersją 11.2.3),
  • PAN-OS 11.1 (przed wersją 11.1.5),
  • PAN-OS 11.0 (przed wersją 11.0.6),
  • PAN-OS 10.2 (przed wersją 10.2.11),
  • PAN-OS 10.1 (przed wersją 10.1.14-h11).

Warto podkreślić, że instancje Cloud NGFW nie są zagrożone, a środowiska Prisma Access zostały już zabezpieczone poprzez odpowiednie poprawki.

Wymagane działania – aktualizacje i obejścia

Palo Alto Networks zaleca niezwłoczne zainstalowanie najnowszych wersji oprogramowania:

  • PAN-OS 11.2 – aktualizacja do 11.2.3 lub nowszej,
  • PAN-OS 11.1 – aktualizacja do 11.1.5 lub nowszej,
  • PAN-OS 11.0 – aktualizacja do 11.0.6 lub nowszej,
  • PAN-OS 10.2 – aktualizacja do 10.2.11 lub nowszej,
  • PAN-OS 10.1 – aktualizacja do 10.1.14-h11 lub nowszej.

Dla organizacji, które nie mogą przeprowadzić aktualizacji od razu, producent udostępnił tymczasowe obejście (workaround), które można zastosować za pomocą polecenia CLI. Należy jednak pamiętać, że działanie to trzeba powtarzać po każdym restarcie systemu.

> debug sslmgr set disable-scep-auth-cookie yes

Rekomendacje dla organizacji

Poza aktualizacją systemów do bezpiecznych wersji zaleca się także wdrożenie następujących działań zabezpieczających:

  • Ograniczenie dostępu do interfejsów zarządzania firewallami tylko do zaufanych adresów IP.
  • Monitorowanie ruchu sieciowego w poszukiwaniu nietypowych wzorców, które mogą wskazywać na próby wykorzystania podatności.
  • Aktualizacja planów reagowania na incydenty, aby umożliwić szybką i skuteczną reakcję w przypadku ataku.

Odkrycie podatności CVE-2025-0128 podkreśla wagę regularnych aktualizacji oprogramowania i ciągłego monitorowania stanu bezpieczeństwa infrastruktury sieciowej. Niezwłoczne podjęcie działań naprawczych pozwoli zminimalizować ryzyko ataku typu DoS oraz utrzymać ciągłość działania chronionych systemów.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...