Компания Palo Alto предупреждает о выявлении нового крупного взлома брандмауэра

Компания Palo Alto Networks предупреждает о продолжающейся атаке на свои файрволы. Угроза состоит в том, что злоумышленники используют несколько уязвимостей для скачивания конфигурационных файлов.

Palo Alto Networks сообщила своим пользователям об атаке, которая объединяет несколько уязвимостей для скачивания конфигурационных файлов и других чувствительных данных. В частности, компания предупредила о CVE-2025-0111 — уязвимости уровня 7.1/10 (высокой степени серьезности), которая затрагивает файрволы PAN-OS. Эта уязвимость позволяет аутентифицированному злоумышленнику с доступом к сети получить доступ к веб-интерфейсу управления и читать файлы, обычно доступные для пользователя “nobody”. Уязвимость была исправлена 12 февраля 2025 года, когда Palo Alto выпустила обновление и настоятельно рекомендовала пользователям его установить.

Также в тот же день компания обратила внимание на другую уязвимость, отслеживаемую как CVE-2025-0108. Эта уязвимость представляет собой обход аутентификации в PAN-OS и позволяет неаутентифицированному злоумышленнику с доступом к сети получить доступ к веб-интерфейсу управления и запускать определенные PHP-скрипты.

Кроме того, в середине ноября 2024 года Palo Alto исправила уязвимость повышения привилегий, отслеживаемую как CVE-2024-9474. Исследователи сообщают, что эти три уязвимости объединяются в продолжающихся атаках.

"Компания Palo Alto Networks наблюдает попытки эксплуатации, объединяющие CVE-2025-0108 с CVE-2024-9474 и CVE-2025-0111 на непримененных патчах и незащищённых веб-интерфейсах управления PAN-OS", — говорится в сообщении об угрозе безопасности.

Компания не раскрывает детали атаки, но BleepingComputer установило, что данные уязвимости используются для скачивания конфигурационных файлов и других чувствительных данных. На данный момент было замечено как минимум 25 различных IP-адресов, направляющих атаки на CVE-2025-0108, что значительно больше двух адресов неделей ранее.

Основные источники атак находятся в США, Германии и Нидерландах, хотя это не обязательно означает местоположение самих злоумышленников. Пока сообщество спешит установить патч и минимизировать потенциальные риски, Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило CVE-2025-0108 в свой каталог "Известных эксплуатируемых уязвимостей" (KEV), дав пользователям до 11 марта для установки патча.