Vulnerabilidad alta en interfaz de administración de Palo Alto (CVE-2025-0108)

Palo Alto, al igual que otras compañías, establece un día específico para publicar avisos de seguridad sobre sus vulnerabilidades del mes. En el caso de Palo Alto, esto ocurre el segundo miércoles de cada mes, donde se publican vulnerabilidades de baja a alta criticidad.
Entre las diversas vulnerabilidades publicadas en febrero de 2025, se encuentra una de alta importancia: CVE-2025-0108.

CVE-2025-0108
Esta vulnerabilidad se encuentra en el proceso de manejo de peticiones al ingresar a la interfaz de administración. Dicho proceso consta de tres componentes: Nginx, Apache y la aplicación PHP.
El primer componente, Nginx, revisa los headers y toma decisiones basadas en su contenido mediante los siguientes comandos:

proxy_set_header X-Real-IP "";
proxy_set_header X-Real-Scheme "";
proxy_set_header X-Real-Port "";
proxy_set_header X-Real-Server-IP "";
proxy_set_header X-Forwarded-For  "";
proxy_set_header X-pan-ndpp-mode "";
proxy_set_header Proxy "";
proxy_set_header X-pan-AuthCheck 'on';

La importancia de esta configuración radica en la última línea, donde se activa la autenticación PAN-OS. Sin embargo, también existe otra condición que puede desactivar la autenticación, lo que representa el problema de seguridad. Esta condición se define de la siguiente manera:

if ($uri ~ ^\/unauth\/.+$) {   set $panAuthCheck 'off'; }
if ($uri = /php/logout.php) {   set $panAuthCheck 'off'; }

Como se puede observar, si la URL contiene "unauth" o "/php/logout.php", Nginx procederá a desactivar la autenticación y redirigirá la petición a Apache. Luego, Apache verificará la URL y la redirigirá internamente para realizar otra comprobación. Finalmente, la petición llegará a PHP, lo que permitirá obtener acceso a la interfaz de administración sin autenticación.

Este proceso se puede visualizar en el siguiente diagrama:


En el último paso podemos observar que el url se transforma en una petición para ejecutar un archivo PHP, este archivo es ejecutado sin ninguna comprobación debido a que “X-pan-AuthCheck” está en modo “OFF” obteniendo así un Bypass completo.

Soluciones alternativas

Palo alto recomienda como una buena práctica que restringa los accesos a la interfaz a solos las direcciones IP de confianza, para así evitar posibles brechas de seguridad y que solo los usuarios que deban tener acceso puedan ingresar. La mayoría de los firewalls ya siguen esta buena práctica, pero si no, es crucial implementarla.

También debe de asegurarse de realizar estos pasos sencillos para mitigar esta vulnerabilidad:

• Administre y verifique los accesos de los administradores.
• Aísle la red.
• Reemplace el certificado del tráfico entrante a la interfaz.
• Mantenga actualizado el software.
• Analice todo el tráfico entrante a la interfaz de administración

Y en caso de contar con prevención de amenazas de Palo alto también se recomienda que habilite el identificador de amenazas 510000 y 510001 que ayudan a detectar y bloquear a usuarios o IP.
 

Versiones Afectadas

Producto	Versión afectada	Versión parcheada
PAN-OS 10.1	De 10.1.0 a 10.1.14	Actualizar a 10.1.14-h9 o posterior
PAN-OS 10.2	De 10.2.0 a 10.2.13	Actualizar a 10.2.13-h3 o posterior
PAN-OS 11.0 (EoL)		Actualizar a una versión fija compatible
PAN-OS 11.1	De 11.1.0 a 11.1.6	Actualizar a 11.1.6-h1 o posterior
PAN-OS 11.2	De 11.2.0 a 11.2.4	Actualizar a 11.2.4-h4 o posterior

Recomendaciones

• Actualizar la versión de Palo Alto
  • PAN-OS 10.1 actualizar a la versión 10.1.14-h9 o posterior
  • PAN-OS 10.2 actualizar a la versión 10.2.13-h3 o posterior
  • PAN-OS 11.0 (EoL) actualizar a una versión fija compatible
  • PAN-OS 11.1 actualizar a la versión 11.1.6-h1 o posterior
     
• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

1. CVE-2025-0108 PAN-OS: Authentication Bypass in the Management Web Interface. (2025, Febrero 12). Recuperado el 14 de febrero del 2025 en:https://security.paloaltonetworks.com/CVE-2025-0108
2. Deploy administrative access best practices. (2023, Agosto 28). Recuperado el 14 de febrero del 2025 en: https://docs.paloaltonetworks.com/best-practices/10-1/administrative-access-best-practices/administrative-access-best-practices/deploy-administrative-access-best-practices
3. Assetnote (2025, Febrero 12) Nginx/Apache Path Confusion to Auth Bypass in PAN-OS (CVE-2025-0108) Recuperado el 14 de febrero del 2025 en: https://www.assetnote.io/resources/research/nginx-apache-path-confusion-to-auth-bypass-in-pan-os

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios