Palo Alto Networks ha confirmado que la vulnerabilidad CVE-2025-0108, recientemente corregida en sus firewalls, está siendo activamente explotada.
El fallo de seguridad, revelado el 12 de febrero, permite a atacantes no autenticados acceder a la interfaz de gestión del dispositivo y ejecutar ciertos scripts PHP. El equipo de investigación de Assetnote, que descubrió la vulnerabilidad, publicó detalles técnicos el mismo día, lo que pudo haber facilitado la explotación.
El 13 de febrero, la firma de inteligencia de amenazas GreyNoise detectó los primeros intentos de ataque. Hasta el 18 de febrero, se han identificado casi 30 direcciones IP únicas intentando explotar esta falla, lo que sugiere un uso malicioso más allá de pruebas de seguridad rutinarias.
Ataques Combinados con Otras Vulnerabilidades
Según Palo Alto Networks, CVE-2025-0108 puede ser encadenada con otras vulnerabilidades como CVE-2024-9474, permitiendo la ejecución remota de código en firewalls desactualizados. CVE-2024-9474 fue corregida en noviembre de 2024, pero sigue siendo utilizada junto con CVE-2024-0012, otra falla de omisión de autenticación similar a CVE-2025-0108.
Además, la empresa ha advertido que un exploit de prueba de concepto (PoC) está disponible públicamente, lo que facilita su uso por parte de ciberdelincuentes. La organización de ciberseguridad Shadowserver Foundation informó que, hasta el 14 de febrero, aproximadamente 3,500 interfaces de gestión PAN-OS estaban expuestas en internet, aumentando el riesgo de ataques.
Recomendaciones Urgentes
Palo Alto Networks insta a todos sus clientes con interfaces de gestión de PAN-OS expuestas a internet a aplicar de inmediato las actualizaciones de seguridad lanzadas el 12 de febrero de 2025. También recomienda revisar configuraciones de seguridad para minimizar riesgos.
La empresa asegura que la divulgación de información técnica sobre la vulnerabilidad fue coordinada con su equipo de seguridad, y recuerda que los atacantes suelen poder revertir las actualizaciones para encontrar vulnerabilidades rápidamente.
Esta explotación activa subraya la importancia de mantener los sistemas actualizados y aplicar buenas prácticas de seguridad en la gestión de dispositivos críticos.
https://www.securityweek.com/palo-alto-networks-confirms-exploitation-of-firewall-vulnerability