ハッカーは、パッチ未適用のPalo Alto Networks製ファイアウォール機器に存在する3つの脆弱性を同時に悪用しようと、活発に試みている。
これらの欠陥はいずれもPalo AltoのPAN-OS Web管理インターフェースに影響するもので、認証バイパスのCVE-2025-0108、認証済みファイル読み取りの脆弱性CVE-2025-0111、権限昇格の脆弱性CVE-2024-9474が含まれる。
最初の2つは重大度の高い脆弱性で、CVSSスコアはそれぞれ8.8と7.1である。Palo Altoはこれらの脆弱性を開示し、2025年2月12日に両方の欠陥に対するパッチを公開した。
3つ目はCVSSスコア6.9でやや深刻度が低く、より古い欠陥で、修正は2024年11月にリリースされている。
サイバー脅威インテリジェンス組織によって最初に検知されたこの連鎖エクスプロイトについて、Palo Altoは2月19日に認識していることを認めた。
PAN-OSファイアウォール脆弱性の悪用が増加
CVE-2025-0108を最初に検知したAssetnoteの研究者は、2月12日に概念実証(PoC)エクスプロイトを公開し、この欠陥をCVE-2024-9474と連鎖させることで、パッチ未適用のPAN-OSファイアウォール上でroot権限を取得できることを示した。
その後数日間で、ネットワーク脅威インテリジェンス企業GreyNoiseや非営利団体Shadowserver Foundationなど複数の組織が、脅威アクターがこの欠陥の積極的な悪用を開始し、2つのIPアドレスから試行が行われていると報告した。
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は2月18日、CVE-2025-0108を既知の悪用されている脆弱性(KEV)カタログに追加した。
翌日、Palo AltoはCVE-2025-0108およびCVE-2025-0111に関するアドバイザリを更新し、「パッチ未適用かつ保護されていないPAN-OS Web管理インターフェースに対して、CVE-2025-0108をCVE-2024-9474およびCVE-2025-0111と連鎖させたエクスプロイトの試行を観測した」と付け加えた。
同社はエクスプロイトチェーンの詳細は提供しなかったが、攻撃の複雑性は「低い」と述べた。
GreyNoiseは、CVE-2025-0108を標的とするIPアドレスが増加していることを観測しており、2月13日の2件から5日後には25件に増加した。
これらの攻撃の主な発信元は米国、ドイツ、オランダだが、これは必ずしも攻撃者の実際の所在地を反映するものではない。
GreyNoiseの研究者は、「PAN-OSファイアウォールに依存している組織は、パッチ未適用のデバイスが標的になっていると想定し、直ちにそれらを保護するための措置を講じるべきだ」と警告した。
写真クレジット: viewimage/Tada Images/Shutterstock
翻訳元: https://www.infosecurity-magazine.com/news/hackers-chain-exploits-three-palo/
