Palo Alto NetworksのPAN-OSの脆弱性が認証バイパスに悪用される(CVE-2025-0108)

2025年2月12日、Assetnoteのセキュリティ研究チームは、Palo Alto Networks(パロアルトネットワークス)のファイアウォールOS「PAN-OS」における新たな認証バイパスの脆弱性「CVE-2025-0108」についての悪用方法を解説しており、実際に脅威アクターへの悪用が確認されています。

この脆弱性はPalo Alto Networksによりパッチが提供されているので、対象者はアップデートする事をお勧めします。

影響を受けるバージョン

• PAN-OS 11.0（サポート終了）
• PAN-OS 11.2 – 11.2.4-h4 未満
• PAN-OS 11.1 – 11.1.6-h1 未満
• PAN-OS 10.2 – 10.2.13-h3 未満
• PAN-OS 10.1 – 10.1.14-h9 未満

EOLの対象バージョンも含まれているので、PAN-OS 11.0を利用している場合は早急にバージョンアップする事をお勧めします。

※Prisma AccessおよびCloud NGFW はこの問題の影響を受けません。

修正済みバージョン

• PAN-OS 11.2.4-h4以降
• PAN-OS 11.1.6-h1以降
• PAN-OS 10.2.13-h3以降
• PAN-OS 10.1.14-h9以降

脆弱性 CVE-2025-0108の概要

認証バイパスにより、管理 Web インターフェイスへのネットワーク アクセス権を持つ認証されていない攻撃者は、PAN-OS 管理 Web インターフェイスで必要な認証をバイパスし、特定の PHP スクリプトを呼び出すことができます。

通常、PAN-OSの管理インターフェースへのアクセスは、以下の3つのレイヤーを経由して処理されます。

1. Nginxリバースプロキシ
2. Apache Webサーバー
3. PHPアプリケーション

Nginxは、特定のリクエストに対して「X-pan-AuthCheck: on」ヘッダーを付与し、認証が必要であることをApacheやPHPに伝えます。しかし、特定のURLパターンでは「X-pan-AuthCheck: off」が設定され、認証が不要となります。

悪用の試みが確認される

GreyNoise は複数の脅威アクターがこの脆弱性を悪用しようとする試みを確認したと発表ています。

対象者はアップデートし、PAN-OSのアクセス制限を実施する事をお勧めします。

PoCエクスプロイトも公開済み

セキュリティ企業のAssetnote は、今回の脆弱性 CVE-2025-0108 と CVE-2024-9474 を連鎖させて、パッチが適用されていない PAN-OS ファイアウォールでルート権限を取得する方法を示したPoCエクスプロイトを公開しました。

現実的に悪用が可能なので、早急に対処をお勧めします。

関連記事

パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告 Palo Alto Networks（パロアルトネットワークス）の「PAN-OS」で緊急度の高い脆弱性が発生（CVE-2024-3400） Palo AltoがCortex XSOARの脆弱性を修正（CVE-2024-5914） パロアルトネットワークスがCVE-2024-9463 (CVSS 9.9) を含む重大な脆弱性について勧告 パロアルトネットワークスの重大な脆弱性(CVE-2024-5910)がサイバー攻撃に悪用されるとCISAが警告 北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説 Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466) Google がChromeの重大な脆弱性を修正 (CVE-2025-0444,CVE-2025-0445)

投稿者：三村

セキュリティ対策Labのダークウェブの調査から執筆まで対応しています。 セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)や脆弱性の営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。