„Palo Alto Networks“ perspėja, kad failas perskaitytas pažeidžiamumas (CVE-2025-0111) dabar yra susietas su atakomis su dar dviem trūkumais (CVE-2025-0108 su CVE-2024-9474), kad būtų galima pažeisti „Pan-OS“ ugniasienes aktyviose atakose.
Pardavėjas pirmiausia atskleidė autentifikavimo aplinkkelio pažeidžiamumą, stebimą kaip CVE-2025-0108, 2025 m. Vasario 12 d., Išleido pataisas, kad būtų galima ištaisyti pažeidžiamumą. Tą pačią dieną turto tyrėjai paskelbė koncepcijos įrodymo išnaudojimą, parodantį, kaip CVE-2025-0108 ir CVE-2024-9474 galėtų būti sujungti kartu, kad būtų įgytos šakninės privilegijos nepaliestose „Pan-OS“ ugniasienėse.
Po dienos tinklo grėsmės „Intel“ įmonė „Greynoise“ pranešė, kad grėsmės veikėjai pradėjo aktyviai išnaudoti trūkumus, bandant iš dviejų IP adresų.
CVE-2024-9474 yra privilegijos eskalavimo trūkumas „Pan-OS“, nustatytas 2024 m. Lapkričio mėn. „Palo Alto Networks“ atskleidimo metu perspėjo, kad pažeidžiamumas buvo išnaudotas kaip nulinė diena.
CVE-2025-0111 yra failo, perskaityto „Pan-OS“ pažeidžiamumą, leidžiant autentifikuotiems užpuolikams, turintiems tinklo prieigą prie valdymo žiniatinklio sąsajos, skaityti failus, kuriuos skaito „niekas“ vartotojas.
„CVE-2025-0111“ trūkumas taip pat buvo nustatytas 2025 m. Vasario 12 d., Tačiau pardavėjas šiandien atnaujino savo biuletenį, kad perspėtų, kad jis taip pat dabar naudojamas eksploatavimo grandinėje su kitomis dviem pažeidžiamumais aktyvių atakų metu.
„„ Palo Alto Networks “pastebėjo bandymus išnaudoti bandymus sujungti CVE-2025-0108 su CVE-2024-9474 ir CVE-2025-0111 neuždengtose ir neužtikrintose„ Pan-OS “žiniatinklio valdymo sąsajose“,-rašoma atnaujintą biuletenį.
Nors „Palo Alto Networks“ nebendravo, kaip piktnaudžiaujama „Exploit“ grandine, „BleepingComputer“ buvo pasakyta, kad jie gali būti sujungti kartu, kad atsisiųstų konfigūracijos failus ir kitą neskelbtiną informaciją.
Didėja išnaudojimo veikla
Apimtis ne tik padidėjo, bet ir „Greynoise“ biuletenio atnaujinimas rodo, kad išnaudojimo veikla taip pat padidėjo.
„Greynoise“ ataskaitose dabar matomos 25 IP adresai, nukreipti į CVE-2025-0108, o jos pradinė ataskaita nuo vasario 13 d. Buvo tik dvi.
Svarbiausi išpuolių šaltiniai yra JAV, Vokietija ir Nyderlandai, nors tai nereiškia, kad užpuolikai iš tikrųjų yra pagrįsti tose vietose.
„MacNica“ tyrėjas Yutaka Sejiyama „Bleepingcomputer“ sakė, kad jo nuskaitymai grąžino tūkstančius „Pan-OS“ įrenginių, kurie jų interneto valdymo sąsają atskleidžia internete.
„Naujai pataisytam CVE-2025-0108 ir CVE-2025-0111 daugumai serverių, viešai atskleidžiančių jų interneto valdymo sąsają, vis dar yra nepavojingi“,-„Bleepingcomputer“ pasakojo Sejiyama.
„Iš 3 490 serverių, su kuriais susiduria internetas, tik kelios dešimtys pritaikė pleistrą.”
Iš šių paveiktų įrenginių 1 168 nebuvo pataisyta CVE-2025-0108 ir CVE-2025-0111, bet pataisyta CVE-2024-9474.
Tyrėjas teigė, kad svarstant visus tris išpuolių sujungtus trūkumus, 65% (2 262 prietaisai) išlieka pažeidžiami bent vieno iš jų.
Šaltinis: Sejiyama
Nepaisant šios situacijos ir aktyvaus išnaudojimo, JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) pridėjo CVE-2025-0108 į savo „žinomą išnaudojamų pažeidžiamumų“ (KEV) katalogą.
Iki 2025 m. Kovo 11 d. Organizacija davė federalines agentūras, kad galėtų pritaikyti turimus atnaujinimus/švelninimą arba sustabdyti produkto naudojimą.
