Uwaga na nową dziurę w firewallu Palo Alto! Można zrestartować system zdalnie i bez uwierzytelnienia

Szczegóły techniczne CVE-2025-0128

Luka została wykryta przez badacza bezpieczeństwa znanego pod pseudonimem Abyss Watcher. To kolejny przykład skutecznej współpracy między społecznością specjalistów ds. cyberbezpieczeństwa a producentami rozwiązań sieciowych.

Podatność została zlokalizowana w komponencie odpowiedzialnym za uwierzytelnianie protokołu SCEP (Simple Certificate Enrollment Protocol). Atakujący może przesłać odpowiednio zmodyfikowane pakiety, które prowadzą do awarii systemu i jego restartu.

Wielokrotne wykorzystanie tej luki może wymusić na zaporze przejście w tryb maintenance mode, co uniemożliwia jej normalne funkcjonowanie. Klasyfikacja podatności wskazuje na problemy z prawidłowym przetwarzaniem danych wejściowych (CWE-754: Improper Check for Unusual or Exceptional Conditions oraz CAPEC-153: Manipulacja danymi wejściowymi).

Możliwe konsekwencje ataku

Skuteczne wykorzystanie podatności może prowadzić do poważnych zakłóceń działania sieci. Powtarzające się restarty zapory mogą wywołać paraliż infrastruktury bezpieczeństwa, co w przypadku kluczowych systemów może skutkować brakiem dostępu do usług, przestojami operacyjnymi i zwiększonym ryzykiem wtórnych ataków.

Wersje PAN-OS podatne na atak

Podatność dotyczy wielu wersji PAN-OS, w tym:

• PAN-OS 11.2 (przed wersją 11.2.3),
• PAN-OS 11.1 (przed wersją 11.1.5),
• PAN-OS 11.0 (przed wersją 11.0.6),
• PAN-OS 10.2 (przed wersją 10.2.11),
• PAN-OS 10.1 (przed wersją 10.1.14-h11).

Warto podkreślić, że instancje Cloud NGFW nie są zagrożone, a środowiska Prisma Access zostały już zabezpieczone poprzez odpowiednie poprawki.

Wymagane działania – aktualizacje i obejścia

Palo Alto Networks zaleca niezwłoczne zainstalowanie najnowszych wersji oprogramowania:

• PAN-OS 11.2 – aktualizacja do 11.2.3 lub nowszej,
• PAN-OS 11.1 – aktualizacja do 11.1.5 lub nowszej,
• PAN-OS 11.0 – aktualizacja do 11.0.6 lub nowszej,
• PAN-OS 10.2 – aktualizacja do 10.2.11 lub nowszej,
• PAN-OS 10.1 – aktualizacja do 10.1.14-h11 lub nowszej.

Dla organizacji, które nie mogą przeprowadzić aktualizacji od razu, producent udostępnił tymczasowe obejście (workaround), które można zastosować za pomocą polecenia CLI. Należy jednak pamiętać, że działanie to trzeba powtarzać po każdym restarcie systemu.

> debug sslmgr set disable-scep-auth-cookie yes

Rekomendacje dla organizacji

Poza aktualizacją systemów do bezpiecznych wersji zaleca się także wdrożenie następujących działań zabezpieczających:

• Ograniczenie dostępu do interfejsów zarządzania firewallami tylko do zaufanych adresów IP.
• Monitorowanie ruchu sieciowego w poszukiwaniu nietypowych wzorców, które mogą wskazywać na próby wykorzystania podatności.
• Aktualizacja planów reagowania na incydenty, aby umożliwić szybką i skuteczną reakcję w przypadku ataku.

Odkrycie podatności CVE-2025-0128 podkreśla wagę regularnych aktualizacji oprogramowania i ciągłego monitorowania stanu bezpieczeństwa infrastruktury sieciowej. Niezwłoczne podjęcie działań naprawczych pozwoli zminimalizować ryzyko ataku typu DoS oraz utrzymać ciągłość działania chronionych systemów.