A Palo Alto Networks alertou que uma vulnerabilidade de leitura de arquivo (CVE-2025-0111) está agora sendo usada em conjunto com outras duas falhas (
CVE-2025-0108
com
CVE-2024-9474
) para comprometer firewalls PAN-OS em ataques ativos.
O fornecedor divulgou inicialmente a vulnerabilidade de bypass de autenticação rastreada como
CVE-2025-0108
em 12 de fevereiro de 2025, lançando patches para corrigir a vulnerabilidade.
No mesmo dia, pesquisadores da Assetnote publicaram um exploit de prova de conceito demonstrando como o
CVE-2025-0108
e o
CVE-2024-9474
poderiam ser encadeados juntos para obter privilégios de root em firewalls PAN-OS não atualizados.
Um dia depois, a empresa de inteligência de ameaças de rede GreyNoise relatou que atores de ameaças começaram a explorar ativamente as falhas, com tentativas vindas de dois endereços IP.
O
CVE-2024-9474
é uma falha de escalada de privilégios no PAN-OS corrigida em novembro de 2024 que permite a um administrador do PAN-OS executar comandos nos firewalls com privilégios de root.
A Palo Alto Networks alertou no momento da divulgação que a vulnerabilidade estava sendo explorada como um zero-day.
O CVE-2025-0111 é uma vulnerabilidade de leitura de arquivo no PAN-OS, permitindo que atacantes autenticados com acesso à rede à interface de gerenciamento web leiam arquivos acessíveis pelo usuário "nobody".
A falha CVE-2025-0111 também foi corrigida em 12 de fevereiro de 2025, mas o fornecedor atualizou seu boletim hoje para alertar que ela agora também está sendo usada em um encadeamento de exploração com as outras duas vulnerabilidades em ataques ativos.
"A Palo Alto Networks observou tentativas de exploração encadeando
CVE-2025-0108
com
CVE-2024-9474
e CVE-2025-0111 em interfaces de gerenciamento web PAN-OS não atualizadas e desprotegidas", afirma o boletim atualizado.
Embora a Palo Alto Networks não tenha compartilhado como a cadeia de exploração está sendo abusada, a BleepingComputer foi informada de que eles podem ser encadeados juntos para baixar arquivos de configuração e outras informações sensíveis.
Não só o escopo foi ampliado, mas uma atualização no boletim da GreyNoise indica que a atividade de exploração também aumentou o ritmo.
A GreyNoise agora relata ver 25 endereços IP visando o
CVE-2025-0108
, enquanto seu relatório inicial de 13 de fevereiro registrou apenas dois.
As principais fontes dos ataques são os Estados Unidos, Alemanha e Países Baixos, embora isso não signifique que os atacantes estejam realmente baseados nessas localizações.
O pesquisador da Macnica, Yutaka Sejiyama, disse que suas varreduras retornaram milhares de dispositivos PAN-OS que expõem sua interface de gerenciamento web à internet.
"Para o recém-corrigido
CVE-2025-0108
e CVE-2025-0111, a maioria dos servidores que expõem publicamente sua interface de gerenciamento web ainda não está atualizada", disse Sejiyama.
De 3.490 servidores voltados para a internet, apenas algumas dezenas aplicaram o patch.
Desses dispositivos expostos, 1.168 não corrigiram o
CVE-2025-0108
e o CVE-2025-0111, mas corrigiram o
CVE-2024-9474
.
O pesquisador disse que, ao considerar todas as três falhas encadeadas nos ataques, 65% (2.262 dispositivos) permanecem vulneráveis a todas elas.
Diante dessa situação e da exploração ativa, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou o
CVE-2025-0108
ao seu catálogo de 'Vulnerabilidades Conhecidas Exploradas' (KEV).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...