Une faille déjà activement exploitée permet à des acteurs malveillants de réaliser des attaques par traversée de répertoire. S’il est impossible d'exécuter des scripts malveillants, la sécurité des systèmes est toutefois grandement compromise.
Le 8 février dernier, Palo Alto Networks a annoncé la correction d'une vulnérabilité critique touchant son système d'exploitation PAN-OS, utilisé dans ses pare-feux de nouvelle génération. Cette faille, identifiée sous le code CVE-2025-0108 et notée 7,8 sur l'échelle CVSS, permet à des acteurs malveillants de contourner l'authentification de l'interface de gestion des dispositifs concernés. Cette menace est d'autant plus préoccupante que cette vulnérabilité est déjà exploitée activement par des acteurs malveillants.
La vulnérabilité repose sur une divergence dans la gestion des requêtes entrantes entre les composants Nginx et Apache de l'interface de gestion. Ce déséquilibre ouvre la voie à une attaque par traversée de répertoire. Selon Adam Kues, chercheur en sécurité chez Archlight Cyber/Assetnote et à l'origine de la découverte, ce défaut offre la possibilité d'accéder à certains scripts PHP sensibles sans authentification préalable. Si ces scripts ne permettent pas d'exécuter directement du code malveillant, leur accès compromet néanmoins la confidentialité et l'intégrité du système.
"Un contournement d'authentification dans PAN-OS de Palo Alto Networks permet à un attaquant non authentifié ayant un accès réseau à l'interface web de gestion de contourner l'authentification requise par l'interface web et d'invoquer certains scripts PHP", explique Palo Alto Networks dans son rapport. La faille touche une large partie des versions de PAN-OS. Les équipes de Palo Alto Networks ont identifié plusieurs versions vulnérables (PAN-OS 11.2 jusqu'à 11.2.4-h4; PAN-OS 11.1 jusqu'à 11.1.6-h1 ; PAN-OS 10.2 jusqu'à 10.2.13-h3 ; PAN-OS 10.1 jusqu'à 10.1.14-h9 ; PAN-OS 11.0 (non corrigé car version en fin de vie depuis novembre 2024). La firme recommande vivement de mettre à jour sans délai les installations affectées vers les versions sécurisées.
Deux autres vulnérabilités corrigées
Outre cette faille critique, Palo Alto Networks a annoncé la correction de deux autres vulnérabilités. La CVE-2025-0109 (CVSS 5,5) qui permet à un attaquant ayant accès à l'interface de gestion de supprimer certains fichiers sensibles et la CVE-2025-0110 (CVSS 7,3), une vulnérabilité d'injection de commande dans le plugin PAN-OS OpenConfig qui permet à un attaquant de contourner les restrictions de sécurité et d'exécuter des commandes arbitraires.
