La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el martes dos defectos de seguridad que afectan las redes Palo Alto Pan-OS y Sonicwall Sonicos SSLVPN a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basadas en evidencia de explotación activa.
Los defectos se enumeran a continuación –
- CVE-2025-0108 (Puntuación CVSS: 7.8): una vulnerabilidad de la autenticación que evita la vulnerabilidad en la interfaz web de gestión PAN -OS de Palo Alto que permite a un atacante no autenticado con acceso a la red a la interfaz web de administración para evitar la autenticación que normalmente se requiere e invocar ciertos scripts de PHP
- CVE-2024-53704 (Puntuación CVSS: 8.2) – Una vulnerabilidad de autenticación inadecuada en el mecanismo de autenticación SSLVPN que permite que un atacante remoto omitir la autenticación
Desde entonces, Palo Alto Networks ha confirmado a Hacker News que ha observado intentos de explotación activos contra CVE-2025-0108, y la compañía observa que podría estar encadenada con otras vulnerabilidades como CVE-2024-9474 para permitir el acceso no autorizado al acceso no inseguido y no garantizado Firewalls.
«Palo Alto Networks ha observado los intentos de exploit de CVE-2025-0108 con CVE-2024-9474 y CVE-2025-0111 en interfaces de gestión web PAN-OS no seguidas y no garantizadas», dijo en un aviso actualizado.
La firma de inteligencia de amenazas Greynoise dijo que hasta 25 direcciones IP maliciosas están explotando activamente CVE-2025-0108, con el volumen de actividad del atacante que aumenta 10 veces desde que se detectó hace casi una semana. Las tres principales fuentes de tráfico de ataque son los Estados Unidos, Alemania y los Países Bajos.
En cuanto a CVE-2024-53704, la compañía de ciberseguridad Arctic Wolf reveló que los actores de amenaza están armando el defecto poco después de que el obispo Fox puso a disposición una prueba de concepto (POC).
A la luz de la explotación activa, las agencias federales de rama ejecutiva civil (FCEB) deben remediar las vulnerabilidades identificadas antes del 11 de marzo de 2025 para asegurar sus redes.
