Χάκερ αξιοποιούν μια πρόσφατα επιδιορθωμένη ευπάθεια (CVE-2025-0108) στο Palo Alto Networks PAN-OS για να παρακάμψουν την ταυτοποίηση και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο διαχειριστικό περιβάλλον των firewalls. Η αδυναμία αυτή, που χαρακτηρίζεται ως υψηλής σοβαρότητας, επιτρέπει σε επιτιθέμενους εντός του δικτύου να εκτελέσουν συγκεκριμένα PHP scripts, θέτοντας σε κίνδυνο την ασφάλεια και την ακεραιότητα των συστημάτων.
Επείγουσες ενημερώσεις και προτεινόμενες εκδόσεις
Σε δελτίο ασφαλείας της 12ης Φεβρουαρίου, η Palo Alto Networks συνιστά στους διαχειριστές την άμεση αναβάθμιση των firewalls στις παρακάτω εκδόσεις για την αντιμετώπιση του προβλήματος:
- 11.2.4-h4 ή νεότερη
- 11.1.6-h1 ή νεότερη
- 10.2.13-h3 ή νεότερη
- 10.1.14-h9 ή νεότερη
Το PAN-OS 11.0, αν και επίσης επηρεάζεται, δεν υποστηρίζεται πλέον (EoL), και δεν πρόκειται να λάβει κάποια διόρθωση. Οι χρήστες αυτής της έκδοσης καλούνται να μεταβούν σε μια υποστηριζόμενη έκδοση το συντομότερο δυνατό.
Λεπτομέρειες της ευπάθειας και εκμετάλλευση
Η ευπάθεια εντοπίστηκε από τους ερευνητές ασφαλείας της Assetnote, οι οποίοι δημοσίευσαν λεπτομερή ανάλυση της εκμετάλλευσης μετά τη διάθεση της ενημέρωσης. Οι ερευνητές ανακάλυψαν ότι η ευπάθεια προέρχεται από μια σύγχυση διαδρομών μεταξύ Nginx και Apache στο PAN-OS, επιτρέποντας την παράκαμψη της ταυτοποίησης και την πρόσβαση σε ευαίσθητα δεδομένα, όπως ρυθμίσεις firewall και στοιχεία διαμόρφωσης.
Επιτιθέμενοι που έχουν πρόσβαση στο διαχειριστικό interface μπορούν να αξιοποιήσουν αυτήν την τεχνική για να συλλέξουν πληροφορίες για επόμενες επιθέσεις ή να αλλάξουν κρίσιμες ρυθμίσεις ασφαλείας.
Καταγραφή επιθέσεων και επιπτώσεις
Η GreyNoise, μια πλατφόρμα ανάλυσης απειλών, ανέφερε αυξημένη δραστηριότητα εκμετάλλευσης της ευπάθειας, με επιθέσεις που ξεκίνησαν στις 13 Φεβρουαρίου, στις 17:00 UTC. Οι επιθέσεις προέρχονται από πολλαπλές διευθύνσεις IP, υποδηλώνοντας ότι διαφορετικοί παράγοντες απειλής προσπαθούν να αξιοποιήσουν το κενό ασφαλείας.
Σύμφωνα με έρευνα του Yutaka Sejiyama από τη Macnica, πάνω από 4.400 συσκευές PAN-OS εκθέτουν το διαχειριστικό τους περιβάλλον στο διαδίκτυο, αυξάνοντας τον κίνδυνο επιθέσεων.
Συστάσεις και προστασία
Καθώς το Proof-of-Concept (PoC) είναι πλέον δημόσιο, η εκμετάλλευση της ευπάθειας είναι πιθανό να ενταθεί τις επόμενες ημέρες. Οι διαχειριστές συστημάτων καλούνται να:
- Εφαρμόσουν άμεσα τις διαθέσιμες ενημερώσεις ασφαλείας.
- Περιορίσουν την πρόσβαση στο διαχειριστικό interface του firewall μέσω IP filtering ή VPN.
- Παρακολουθούν τη δικτυακή δραστηριότητα για ύποπτες ενδείξεις εκμετάλλευσης.
Η έγκαιρη ανταπόκριση είναι κρίσιμη για την αποτροπή μη εξουσιοδοτημένης πρόσβασης και πιθανής διαρροής ευαίσθητων πληροφοριών.
Πηγή: PaloAltoNetworks, CyberSecurityNews, TheHackerNews, BleepingComputer
