Tres llaves para root: se detectó una peligrosa combinación de vulnerabilidades en PAN-OS

Palo Alto Networks confirmó la explotación activa de la vulnerabilidad crítica CVE-2025-0108, ya corregida. En combinación con dos fallos previamente detectados, los hackers pueden eludir la autenticación y obtener acceso root completo a los sistemas vulnerables.

La historia comenzó con CVE-2024-9474 (puntuación CVSS: 6.9), una vulnerabilidad de escalación de privilegios en PAN-OS que permitía a los administradores con acceso a la interfaz web de gestión ejecutar comandos con privilegios de root. Palo Alto Networks lanzó un parche en noviembre de 2024. Sin embargo, especialistas de Searchlight Cyber’s Assetnote, durante el análisis del parche, descubrieron un nuevo problema relacionado con la omisión de autenticación.

La nueva vulnerabilidad recibió el identificador CVE-2025-0108 (puntuación CVSS: 8.8) y fue corregida a principios de febrero de 2025. El exploit permite a los atacantes con acceso a la red y a la interfaz de gestión omitir la autenticación y ejecutar ciertos scripts PHP, comprometiendo la integridad y confidencialidad del sistema.

Otra amenaza adicional es la vulnerabilidad CVE-2025-0111 (puntuación CVSS: 7.1), corregida el mismo día. Este fallo permite que un ciberdelincuente autenticado con acceso a los recursos de la red lea archivos accesibles por el usuario "nobody". A pesar de su calificación moderada, esta vulnerabilidad se vuelve crítica en ataques combinados.

El 18 de febrero, Palo Alto Networks actualizó sus recomendaciones sobre CVE-2025-0108, informando que se han detectado ataques utilizando la combinación de CVE-2024-9474 y CVE-2025-0111. Esto confirma que los exploits ya están siendo utilizados para obtener control total sobre dispositivos vulnerables. La empresa recomienda encarecidamente a los administradores actualizar las versiones de PAN-OS 10.1, 10.2, 11.0, 11.1 y 11.2 a las versiones más recientes con los parches de seguridad.

Aunque los servicios en la nube Cloud NGFW y Prisma Access no están afectados, los usuarios de soluciones tradicionales enfrentan una amenaza creciente de ataques. Palo Alto Networks confirma que los ataques continúan y su número va en aumento.

Se enfatiza que restringir el acceso a la interfaz web solo a direcciones IP internas no garantiza una seguridad total. Incluso estas configuraciones pueden ser vulnerables, aunque el riesgo de compromiso es menor. Según los especialistas, muchos administradores dejan deliberadamente las interfaces accesibles desde internet para facilitar la gestión remota, lo que en la situación actual representa una seria amenaza.

Palo Alto no ha revelado cuántos usuarios han sido afectados, pero señala que la mayoría de sus clientes mantienen las interfaces de administración cerradas. No obstante, incluso en estos casos, la actualización es una medida obligatoria. En los próximos días, la empresa lanzará una actualización de emergencia. Algunos usuarios ya han recibido un parche preliminar, 11.1.4-h12, que soluciona un problema de reinicio en los firewalls bajo ciertas condiciones de tráfico. Actualmente, la actualización está en fase de pruebas finales antes de su despliegue generalizado.