[TLP:CLEAR] Palo Alto Networks opravuje 8 zranitelností
Palo Alto Networks opravuje 8 zranitelností ve svých produktech. Nejzávažnější z nich jsou popsány níže [1][2][3][4][5], zbytek naleznete na [6][7][8]. Produkty a jejich opravené verze: PAN-OS [1][2][6][8]: - 10.1.14-h11, 10.2.13-h5 [9], 10.2.14 [9], 11.0.6, 11.1.8 [9], 11.2.5. PAN-OS (VM-Series) [3]: - 10.1.14-h13, 10.2.9, 11.0.4. Prisma Access (PAN-OS) [1][2]: - 10.2.4-h36, 10.2.10-h16, 11.2.4-h5. Prisma SD-WAN [4]: - 6.1.10, 6.3.4, 6.4.2, 6.5.1. GlobalProtect App (Windows) [5]: - 6.2.7-h3, 6.2.8, 6.3.3 (očekávaná dostupnost na konci dubna 2025). Cortex XDR Agent (Windows) [7]: - 7.9.103-CE HF, 8.3.101-CE HF, 8.5.2, 8.6.1.
Neautentizovanému vzdálenému útočníkovi je na instancích PAN-OS a Prisma Access s explicitní konfigurací autentizační funkce Simple Certificate Enrollment Protocol (SCEP) umožněno pomocí speciálně vytvořených paketů vykonat útok DoS na firewall. Není-li možná okamžitá aktualizace na opravenou verzi, je možné SCEP deaktivovat zadáním příkazu "debug sslmgr set disable-scep-auth-cookie yes" v CLI PAN-OS. Příkaz je nutné zadat po každém restartu instance [1].
Zranitelnost se nachází v produktech:
- PAN-OS (pan-os) ve verzích (>=10.1 AND <10.1.14-h11) OR (>=10.2 AND <10.2.10-h17) OR (>=11.0 AND <11.0.6) OR (>=11.1 AND <11.1.5) OR (>=11.2 AND <11.2.3)
- Prisma Access (pan-os) ve verzích (>=10.2.4 AND <10.2.4-h36) OR (>=10.2.10 AND <10.2.10-h16) OR (>=11.2.4 AND <11.2.4-h5)
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/AU:Y/R:U/V:C/RE:M/U:Amber
Více informací:
- CVE-2025-0128 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-754: Improper Check for Unusual or Exceptional Conditions at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 4. 2025.
Neautentizovanému vzdálenému útočníkovi je v rámci GlobalProtect SAML loginu na instancích PAN-OS a Prisma Access s PAN-OS pomocí sociálního inženýrství umožněno fixovat relaci legitimního uživatele, převzít jeho identitu a následně provádět neautorizované akce s jeho oprávněními. SAML login pro rozhraní správy PAN-OS postižen není. Informace k ověření konfigurace instance a dočasné opravě jsou k dispozici na [2].
Zranitelnost se nachází v produktech:
- PAN-OS (pan-os) ve verzích (>=10.1 AND <10.1.14-h11) OR (>=10.2 AND <10.2.4-h25) OR (>=10.2.9 AND <10.2.9-h13) OR (>=10.2.10 AND <10.2.10-h6) OR (>=11.0 AND <11.0.6) OR (>=11.1 AND <11.1.5) OR (>=11.2 AND <11.2.3)
- Prisma Access (pan-os) ve verzích (>=10.2.4 AND <10.2.4-h36) OR (>=10.2.10 AND <10.2.10-h16) OR (>=11.2.4 AND <11.2.4-h5)
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:H/SC:H/SI:N/SA:N/AU:N/R:U/V:D/RE:M/U:Amber
Více informací:
- CVE-2025-0126 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-384: Session Fixation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 4. 2025.
Autentizovanému lokálnímu útočníkovi s administrátorským oprávněním na instancích PAN-OS VM-Series je umožněno obejít systémová omezení a spouštět libovolné příkazy s oprávněním root. Zranitelnost se netýká již nasazených firewallů [3].
Zranitelnost se nachází v produktu PAN-OS (pan-os) ve verzích (>=10.1) OR (<10.1.14-h13) OR (>=10.2 AND <10.2.9) OR (>=11.0 AND <11.0.4).
CVSS: CVSS:4.0/AV:L/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/AU:N/R:U/V:D/RE:M/U:Amber
Více informací:
- CVE-2025-0127 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 4. 2025.
Autentizovanému lokálnímu útočníkovi bez administrátorských práv je v GlobalProtect App na instancích Windows zneužitím race condition umožněno eskalovat svá oprávnění na NT AUTHORITY\SYSTEM [4].
Zranitelnost se nachází v produktu GlobalProtect App (windows) ve verzích (>=6.0 AND <6.2.7-h3) OR (>=6.3 AND <6.3.3).
CVSS: CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:N/VI:H/VA:N/SC:H/SI:H/SA:H/AU:N/R:U/V:C/RE:M/U:Amber
Více informací:
- CVE-2025-0120 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-250: Execution with Unnecessary Privileges at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 4. 2025.
Neautentizovanému vzdálenému útočníkovi je v zařízeních Prisma SD-WAN ION zasíláním speciálně vytvořených paketů umožněno vykonat útok DoS [5].
Zranitelnost se nachází v produktu Prisma SD-WAN ve verzích (>=6.1 AND <6.1.10) OR (>=6.2 AND <6.3.4) OR (>=6.4 AND <6.4.2) OR (>=6.5 AND <6.5.1).
CVSS: CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U/AU:Y/R:A/V:D/RE:L/U:Amber
Více informací:
- CVE-2025-0122 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 4. 2025.
Odkazy
- [1] https://security.paloaltonetworks.com/CVE-2025-0128
- [2] https://security.paloaltonetworks.com/CVE-2025-0126
- [3] https://security.paloaltonetworks.com/CVE-2025-0127
- [4] https://security.paloaltonetworks.com/CVE-2025-0120
- [5] https://security.paloaltonetworks.com/CVE-2025-0122
- [6] https://security.paloaltonetworks.com/CVE-2025-0125
- [7] https://security.paloaltonetworks.com/CVE-2025-0121
- [8] https://security.paloaltonetworks.com/CVE-2025-0124
- [9] https://va2am.cesnet.cz/reports/407
Za CESNET-CERTS Michaela Ručková dne 14. 4. 2025.
