パロアルトネットワークスは、ファイル読み取りの脆弱性(CVE-2025-0111)が、他の2つの欠陥(CVE-2025-0108とCVE-2024-9474)と連鎖して攻撃され、PAN-OSファイアウォールをアクティブに突破されていると警告している。
同ベンダーは2025年2月12日、CVE-2025-0108として追跡されている認証バイパスの脆弱性を初めて公表し、脆弱性を修正するパッチをリリースした。同日、Assetnote の研究者は、CVE-2025-0108 と CVE-2024-9474 を連鎖させて、パッチが適用されていない PAN-OS ファイアウォールで root 権限を取得する方法を示す概念実証のエクスプロイトを公開しました。
その1日後、ネットワーク脅威情報会社GreyNoiseは、脅威行為者がこの欠陥を積極的に悪用し始めており、2つのIPアドレスから試みが行われていることを報告しました。
CVE-2024-9474は、2024年11月に修正されたPAN-OSの特権昇格の欠陥で、PAN-OSの管理者がファイアウォール上でroot権限でコマンドを実行できるようになります。パロアルトネットワークスは、この脆弱性がゼロデイとして悪用されたことを公開時に警告しています。
CVE-2025-0111は、PAN-OSのファイル読み取りの脆弱性で、管理ウェブインタフェースにネットワークアクセスできる認証済みの攻撃者が、「nobody」ユーザが読み取り可能なファイルを読み取ることができる。
CVE-2025-0111の不具合は2025年2月12日にも修正されているが、ベンダーは本日、速報を更新し、他の2つの脆弱性と悪用の連鎖に利用され、活発な攻撃にも利用されていると警告している。
「パロアルトネットワークスは、CVE-2025-0108とCVE-2024-9474およびCVE-2025-0111を、パッチが適用されておらず、セキュリティで保護されていないPAN-OSのWeb管理インターフェイス上で悪用しようとしていることを確認しています。
パロアルトネットワークスは、エクスプロイトチェーンがどのように悪用されているかを共有していないが、設定ファイルやその他の機密情報をダウンロードするために連鎖する可能性があると聞いている。
悪用活動の増加
範囲が広がっただけでなく、GreyNoiseの速報の更新によると、悪用活動もペースを増している。
GreyNoiseの報告によると、CVE-2025-0108を標的とするIPアドレスは、2月13日の最初のレポートでは2つしか記録されていませんでしたが、現在では25個確認されています。
攻撃元のトップは米国、ドイツ、オランダですが、これは攻撃者が実際にこれらの場所に拠点を置いていることを意味するものではありません。
MacnicaのリサーチャーであるYutaka Sejiyamaは、彼のスキャンによって、ウェブ管理インターフェイスをインターネットに公開している数千台のPAN-OSデバイスが発見されたと述べている。
「新たにパッチが適用されたCVE-2025-0108とCVE-2025-0111については、ウェブ管理インターフェイスを公開しているサーバーの大半はまだパッチが適用されていません。
「インターネットに接続している3,490台のサーバーのうち、パッチを適用しているのはわずか数十台です。
これらの公開されたデバイスのうち、1,168台はCVE-2025-0108とCVE-2025-0111のパッチを適用していないが、CVE-2024-9474のパッチを適用している。
同リサーチャーによると、攻撃で連鎖している3つの欠陥すべてを考慮すると、65%(2,262台)のデバイスがすべての欠陥に対して脆弱なままであるという。
出所瀬地山
このような状況と活発な悪用の中、米サイバーセキュリティ&インフラセキュリティ局(CISA)は、CVE-2025-0108を「Known Exploited Vulnerabilities」(KEV)カタログに追加した。
同庁は連邦政府機関に対し、2025年3月11日までに利用可能なアップデート/対策を適用するか、製品の使用を停止するよう求めている。
Comments