Hackers exploram cadeia de vulnerabilidades em firewalls Palo Alto Networks

Hackers estão ativamente explorando três vulnerabilidades simultâneas em firewalls da Palo Alto Networks que ainda não foram corrigidos.

Essas falhas, todas presentes na interface web de gerenciamento do PAN-OS, incluem: CVE-2025-0108, uma falha de bypass de autenticação; CVE-2025-0111, uma vulnerabilidade de leitura de arquivos autenticados; e CVE-2024-9474, uma escalada de privilégios.

As duas primeiras são classificadas como de alta gravidade, com pontuações CVSS de 8.8 e 7.1, respectivamente. A Palo Alto divulgou as vulnerabilidades e disponibilizou correções para ambas no dia 12 de fevereiro de 2025.

A terceira vulnerabilidade, embora de menor gravidade (pontuação CVSS de 6.9), já era conhecida anteriormente, com um patch lançado em novembro de 2024.

A exploração em cadeia dessas falhas foi detectada inicialmente por organizações de inteligência de ameaças cibernéticas e foi reconhecida oficialmente pela Palo Alto em 19 de fevereiro.

Aumento dos Ataques a Firewalls PAN-OS

Pesquisadores da Assetnote foram os primeiros a identificar a falha CVE-2025-0108 e, no mesmo dia 12 de fevereiro, publicaram um exploit de prova de conceito demonstrando como essa vulnerabilidade pode ser encadeada com a CVE-2024-9474 para obter privilégios de root em firewalls PAN-OS não corrigidos.

Nos dias seguintes, diversas organizações, incluindo a empresa de inteligência de ameaças GreyNoise e a fundação sem fins lucrativos Shadowserver, relataram que hackers começaram a explorar ativamente essas vulnerabilidades, com tentativas de ataque originadas de dois endereços IP.

No dia 18 de fevereiro, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a CVE-2025-0108 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). No dia seguinte, a Palo Alto atualizou seus avisos de segurança sobre as CVEs-2025-0108 e 2025-0111, informando que identificou tentativas de exploração dessas falhas em conjunto com a CVE-2024-9474 em firewalls PAN-OS que ainda não foram corrigidos.

A empresa não forneceu detalhes sobre a exploração da cadeia de vulnerabilidades, mas afirmou que a complexidade do ataque é "baixa".

A GreyNoise observou um aumento no número de endereços IP envolvidos nos ataques à CVE-2025-0108, passando de dois no dia 13 de fevereiro para 25 cinco dias depois. Os principais países de origem desses ataques são os Estados Unidos, Alemanha e Holanda, embora isso não necessariamente reflita a localização real dos hackers.

"Organizações que dependem de firewalls PAN-OS devem assumir que dispositivos sem correção estão sendo ativamente visados e tomar medidas imediatas para protegê-los", alertaram os pesquisadores da GreyNoise.

Via - IM