Wykrycie luki i pierwsze ataki
Palo Alto Networks potwierdziło, że wykryta luka CVE-2025-0111 w ich zaporach sieciowych PAN-OS jest obecnie wykorzystywana przez cyberprzestępców. Co gorsza, atakujący łączą ją z dwiema innymi znanymi podatnościami – CVE-2025-0108 oraz CVE-2024-9474 – co pozwala na przełamanie zabezpieczeń i uzyskanie uprawnień roota. Skutki mogą być poważne, zwłaszcza dla organizacji, które nie zdążyły wdrożyć odpowiednich łatek. Luka CVE-2025-0111 pozwala uwierzytelnionym atakującym na odczyt plików dostępnych dla użytkownika "nobody" poprzez interfejs zarządzania siecią. Choć problem został załatany 12 lutego 2025 roku, to Palo Alto Networks w zaktualizowanym biuletynie ostrzegło, że obecnie jest ona wykorzystywana w połączeniu z pozostałymi dwoma lukami. Taka kombinacja pozwala na pobieranie plików konfiguracyjnych i innych wrażliwych danych, co stanowi realne zagrożenie dla bezpieczeństwa sieci firmowych.
Wzrost liczby ataków i zagrożenie globalne
Pierwsze sygnały o aktywnym wykorzystywaniu tych podatności pojawiły się zaledwie dzień po publikacji łatek. Firma GreyNoise, zajmująca się analizą zagrożeń, zarejestrowała początkowo jedynie dwa adresy IP zaangażowane w ataki. Jednak w ciągu kilku dni liczba ta wzrosła do 25, a źródła ruchu wskazują na serwery zlokalizowane w Stanach Zjednoczonych, Niemczech i Holandii. Należy jednak pamiętać, że lokalizacja serwerów nie oznacza rzeczywistego miejsca działania sprawców. Wyniki skanów przeprowadzonych przez Yutakę Sejiyamę z firmy Macnica wskazują, że na świecie istnieje tysiące urządzeń PAN-OS, które nadal udostępniają swój interfejs zarządzania w Internecie. Z 3 490 takich serwerów jedynie kilkadziesiąt zostało zabezpieczonych odpowiednimi łatkami. Aż 65% tych urządzeń pozostaje podatnych na co najmniej jedną z wymienionych luk, co znacząco zwiększa ryzyko udanego ataku.
Reakcja władz i rekomendacje ekspertów
Na skutek rosnącego zagrożenia amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) dodała CVE-2025-0108 do katalogu znanych wykorzystanych luk w zabezpieczeniach (KEV). Federalne agencje w USA mają czas do 11 marca 2025 roku na wdrożenie stosownych aktualizacji lub zaprzestanie korzystania z podatnych urządzeń. Eksperci ds. cyberbezpieczeństwa przypominają, że skuteczna ochrona wymaga nie tylko bieżącej instalacji łatek, ale także monitorowania ruchu sieciowego i ograniczenia dostępu do interfejsów zarządzania z sieci publicznych. Producenci zabezpieczeń rekomendują, aby administratorzy sieci natychmiast wdrożyli dostępne poprawki, a w razie braku możliwości aktualizacji – wyłączyli publiczny dostęp do interfejsów zarządzania. W przeciwnym razie każdy dzień zwłoki może narazić organizację na poważne konsekwencje finansowe i wizerunkowe.
