Palo Alto Networks meldt dat hackers een recent gepatchte firewallkwetsbaarheid, bekend als CVE-2025-0108, actief uitbuiten.
Toen Palo Alto Networks op 12 februari updates en mitigaties aankondigde, meldde het bedrijf ook het bestaan van CVE-2025-0108. De authenticatie-omzeilingsfout in PAN-OS stelt een niet-geauthenticeerde aanvaller in staat om toegang te krijgen tot de beheerdersinterface van het doelapparaat. Daarop kan een hacker vervolgens bepaalde PHP-scripts uitvoeren. Op dezelfde dag maakte Assetnote, het beveiligingsbedrijf dat de kwetsbaarheid ontdekte, technische details openbaar.
Dreigingsinformatiebedrijf GreyNoise detecteerde de eerste exploitatiepogingen van CVE-2025-0108 op 13 februari. Het is onduidelijk wat de aanvallers precies proberen te doen, maar het bedrijf classificeerde de activiteit als malicious. Dit geeft aan dat bedreigingsactoren de kwetsbaarheid proberen uit te buiten.
Palo Alto Networks meldde SecurityWeek maandagavond (17 februari) dat de beveiliging van klanten de hoogste prioriteit heeft. Het bedrijf bevestigde toen de meldingen van actieve exploitatie. Op dinsdag 18 februari had GreyNoise aanvalspogingen vanuit bijna 30 unieke IP-adressen waargenomen.
Combinatie met andere kwetsbaarheden
In zijn openbaarmaking wees Assetnote erop dat CVE-2025-0108 gecombineerd kan worden met een andere kwetsbaarheid, zoals de actief uitgebuite CVE-2024-9474, voor uitvoering van externe code. CVE-2024-9474 werd in november 2024 gepatcht en is samen met CVE-2024-0012, een andere authenticatie-omzeilingskwetsbaarheid vergelijkbaar met CVE-2025-0108, uitgebuit.
Palo Alto Networks dringt er in een e-mailverklaring bij alle klanten met internetgerichte PAN-OS beheerdersinterfaces op aan om onmiddellijk de beveiligingsupdates van 12 februari 2025 toe te passen. Het bedrijf stelt dat het beveiligen van externe beheerdersinterfaces een fundamentele beveiligingspraktijk is. Het raadt alle organisaties sterk aan om configuraties te herzien om risico’s te minimaliseren.
De Shadowserver Foundation heeft eveneens pogingen waargenomen om CVE-2025-0108 uit te buiten met een niet-gespecificeerde, openbaar beschikbare PoC. De non-profit cybersecurityorganisatie waarschuwde dat op 14 februari ongeveer 3.500 PAN-OS beheerdersinterfaces blootgesteld waren aan het internet.
Gevaar van reverse-enginering
Op de vraag of de openbaarmaking van technische details het voor aanvallers gemakkelijker heeft gemaakt om CVE-2025-0108 uit te buiten, antwoordde Assetnote dat de openbare bekendmaking was gecoördineerd met het beveiligingsteam van Palo Alto Networks. Het bedrijf merkte ook op dat aanvallers patches doorgaans vrij eenvoudig kunnen reverse-engineeren.
Hun onderzoek zou bedoeld zijn om verdedigers te helpen begrijpen hoe de kwetsbaarheid werkt, zodat ze eventuele inbraakpogingen kunnen detecteren en de cybersecuritygemeenschap kan nagaan of er exploitatie in het wild heeft plaatsgevonden.