Google-ovi timovi za sajber sigurnost Project Zero i Mandiant zajednički su objavili eksploataciju dokaza o konceptu (PoC) za ranjivost ubrizgavanja komandi visoke ozbiljnosti u PAN-OS OpenConfig dodatku Palo Alto Networks.
Praćen kao CVE-2025-0110 , mana dozvoljava autentifikovanim administratorima da izvršavaju proizvoljne komande na zaštitnim zidovima preko manipulisanih gNMI zahteva, eskalirajući privilegije na root pristup.
Objavljivanje je uslijedilo nakon izdavanja zakrpe Palo Alto Networks u februaru 2025. i naglašava rastuću zabrinutost oko lanaca eksploatacije firewall-a u kritičnoj infrastrukturi.
CVE-2025-0110 se nalazi u PAN-OS OpenConfig dodatku, koji olakšava konfiguraciju mrežnog uređaja putem gNMI protokola.
Napadači koji iskorištavaju ovu manu mogu zaobići sigurnosna ograničenja ubacivanjem malicioznih naredbi u typeparametar XPATH upita tokom preuzimanja syslog-a. Na primjer, PoC demonstrira ugrađivanje $(echo system > file1; cat file1)u upit za izvršavanje bash komandi.
bash./gnmic -a <IP>:9339 -u admin --password=<PASSWORD> --skip-verify \
--path 'pan-logging:/pan/logging/query/custom[type=$(echo system > file1; cat file1)]'
Uspješno iskorištavanje omogućava napadačima da rekonfigurišu firewall, eksfiltriraju osjetljive podatke ili implementiraju trajna pozadinska vrata kao što je UPSTYLE malware koji je uočen u prethodnim PAN-OS kampanjama.
Iskoristite rizike lanca
Dok CVE-2025-0110 zahtijeva autentifikaciju , Google-ovi istraživači naglašavaju njegovu opasnost u kombinaciji sa CVE-2025-0108, propustom zaobilaženja autentifikacije koji je zakrpljen ranije ovog mjeseca. Hakeri mogu povezati ove ranjivosti sa:
- Zaobiđite kontrole za prijavu putem eksploatacije PHP skripte CVE-2025-0108.
- Eskalirajte privilegije koristeći CVE-2025-0110 da dobijete root pristup.
- Postavite ransomware ili alate za špijunažu, kao što se vidi u napadima iz novembra 2024. koji koriste CVE-2024-9474.
Palo Alto Networks je potvrdio aktivnu eksploataciju ovog lančanog vektora napada, pri čemu je GreyNoise zapazio 26 malicioznih IP adresa koje ciljaju izložene upravljačke interfejse.
Palo Alto Networks je 12. februara 2025. objavio fiksne verzije dodatka OpenConfig (≥2.1.2), pozivajući korisnike da:
- Odmah primijenite zakrpe (PAN-OS 11.2.4-h4, 11.1.6-h1, itd.).
- Ograničite pristup interfejsu upravljanja na pouzdane IP adrese.
- Onemogućite OpenConfig ako se ne koristi.
Google-ovo otkrivanje podataka je u skladu sa njegovom politikom otkrivanja ranjivosti od 90 dana, uz napomenu da su zakrpe bile dostupne prije objavljivanja. Međutim, Shadowserver Foundation izvještava da je preko 3.500 PAN-OS interfejsa izloženih internetu i dalje nezaštićeno od 21. februara.
- Određivanje prioriteta zakrpa: Trenutna instalacija ažuriranja PAN-OS-a, posebno za zaštitne zidove sa interfejsima za javno upravljanje.
- Segmentacija mreže: Provedite politike nultog povjerenja kako biste izolirali nivoe upravljanja zaštitnim zidom.
- Lov na prijetnje: Nadgledajte anomalne zahtjeve za gNMI ili neočekivano kreiranje cron poslova, indikatori UPSTYLE backdoor aktivnosti.
Izvor: CyberSecurityNews
