Palo Alto Networks a averti que les attaquants utilisent une chaîne d’exploitation impliquant deux vulnérabilités récemment divulguées dans ses interfaces de gestion du pare-feu.
Mardi, Palo Alto Networks a divulgué l’activité d’exploitation dans un avis de sécurité mis à jour pour une vulnérabilité de lecture de fichiers authentifiés, suivi comme CVE-2025-0111, dans le logiciel Pan-OS du fournisseur qui a été initialement divulgué le 12 février. Le défaut en tant que niveau d’urgence «le plus élevé» et a recommandé que les clients désactivent l’accès Internet à l’interface de gestion Web Pan-OS.
La mise à jour, publiée une semaine après la divulgation initiale, a mis en garde contre l’activité d’exploitation où les attaquants ont enchaîné le CVE-2025-0111 avec deux autres vulnérabilités de Palo Alto Networks. Le premier est une autre vulnérabilité récemment divulguée, suivie comme CVE-2025-0108, qui a été attaquée comme un jour zéro. Le second est une vulnérabilité plus ancienne et précédemment divulguée suivie sous le nom de CVE-2024-9474.
Ce dernier a également été exploité lors d’attaques zéro-jour contre les interfaces de gestion du pare-feu du fournisseur de sécurité en novembre. Cependant, il semble que certaines instances restent non corrigées.
“Palo Alto Networks a observé des tentatives d’exploitation à chaîne CVE-2025-0108 avec CVE-2024-9474 et CVE-2025-0111 sur les interfaces de gestion Web Pan-OS non garanties et non garanties”, a écrit la société dans l’avis de sécurité mis à jour.
Informa Techtarget a contacté Palo Alto Networks pour commenter la portée de l’attaque. Le fournisseur de sécurité a confirmé qu’il avait observé une exploitation limitée à ce moment et a fourni l’énoncé suivant:
Palo Alto Networks exhorte les clients à réparer immédiatement deux vulnérabilités dans l’interface de gestion Web Pan-OS – CVE-2025-0108 et CVE-2025-0111. Ces vulnérabilités pourraient permettre un accès non autorisé à l’interface de gestion des pare-feu affectés, conduisant potentiellement à un compromis système. Les tentatives d’exploitation pour le CVE-2025-0108, qui a un exploit de preuve de concept accessible au public, ont été observées en l’établissant avec CVE-2024-9474 et CVE-2025-0111 sur les interfaces Web Pan-OS non garanties et non garanties. Nous continuons à surveiller la situation et à tirer parti des mécanismes actuellement opérationnels pour détecter les compromis des clients en télémétrie et TSF et les soutenir grâce aux corrections EFR.
Palo Alto Networks a ajouté que les clients devraient prendre des mesures immédiates en téléchargeant et en installant les dernières mises à jour PAN-OS fournies dans les avis de sécurité pour CVE-2025-0108 et CVE-2025-0111. Le vendeur a déclaré qu’il ne pouvait pas fournir des taux de correction pour CVE-2024-9474 en raison de problèmes de sécurité des clients.
Palo Alto Networks a crédité les chercheurs en sécurité Émilio Gonzalez et Maxime Gaudreault, ainsi que sa propre équipe de recherche sur la sécurité des produits profonds, pour avoir découvert et signalé le CVE-2025-0111. L’année dernière, Gonzalez a appelé Palo Alto Networks dans un poste à Mastodon pour une mauvaise divulgation de vulnérabilité autour du CVE-2024-0012, un autre défaut zéro-jour qui a également affecté l’interface de gestion Web du fournisseur. Dans un autre article de Mastodon le 12 février, Gonzalez a partagé l’avis de CVE-2025-0111 et a déclaré qu’il s’agissait de son premier CVE et BUG BOUNTY.
La CISA a ajouté le CVE-2025-0111 à sa liste de vulnérabilités exploitée connue jeudi, donnant aux agences fédérales une date limite du 13 mars pour fournir des atténuations des fournisseurs.
Le logiciel Pan-OS de Palo Alto Networks, le système d’exploitation qui gère les pare-feu du fournisseur, est devenu une cible populaire pour les attaquants au cours de la dernière année. En novembre, les attaquants ont exploité CVE-2024-9474 et CVE-2024-0012 dans des attaques zéro jour, ce qui a conduit au compromis d’au moins 2 000 interfaces de gestion Pan-OS.
En avril, Palo Alto Networks a confirmé que les attaquants ont exploité un défaut d’injection de commande, suivi comme CVE-2024-3400, affectant également sa fonction GlobalProtect Gateway dans le logiciel Pan-OS du fournisseur. De plus, en janvier, les chercheurs d’Eclypsium ont détaillé plusieurs problèmes de sécurité qu’ils ont découverts dans les produits de pare-feu de Palo Alto Networks alors que les attaques contre les dispositifs Edge augmentent.
Arielle Waldman est une rédactrice pour Informa Techtarget couvrant la sécurité des entreprises.
