La vulnerabilidad de denegación de servicio (CVE-2025-0128) afecta a múltiples versiones del software PAN-OS Firewall.
Este defecto permite a los atacantes no identificados activar los reinicios del sistema de forma remota utilizando paquetes especialmente creados, lo que les permite forzar el dispositivo al modo de mantenimiento a través de ataques potencialmente permanentes.
La característica de autenticación del Protocolo de inscripción de certificados (SCEP) de Palo Alto Networks, líder de la plataforma de firewall, identificó una importante vulnerabilidad.
Seguimiento como CVE-2025-0128, este defecto recibió una puntuación CVSS de 6.6 (medio), pero el vector de ataque basado en la red y la baja complejidad están particularmente relacionadas con los sistemas de exposición.
Vulnerabilidad PAN-OS Firewall DOS
Esta vulnerabilidad permite a los actores de amenaza no identificados iniciar un reinicio del sistema enviando paquetes maliciosamente elaborados a un firewall afectado.
La explotación repetida puede forzar los dispositivos al modo de mantenimiento, lo que hace que el período de servicio no esté disponible para las organizaciones que confían en estos dispositivos de seguridad no disponibles durante largos períodos de servicio.
Según el aviso, “la vulnerabilidad de Denue-of-Service (DOS) en la función de autenticación del Protocolo de inscripción de certificados simples (SCEP) en el software Palo Alto Alto Networks PAN-OS® permite a un atacante deshonesto usar paquetes maliciosos para iniciar un reinicio del sistema”.
Los expertos en seguridad clasifican la vulnerabilidad en CWE-754 (verificación incorrecta de condiciones anormales o excepcionales) y CAPEC-153 (manipulación de datos de entrada), lo que indica los problemas fundamentales con los firewalls que manejan condiciones de entrada inesperadas.
Los ataques requieren interacción del usuario, completamente automatizado y pueden contribuir a su potencial peligroso a pesar de una clasificación de gravedad “moderada”.
En particular, las vulnerabilidades han logrado altos impactos de disponibilidad, al tiempo que presentan una amenaza directa a la confidencialidad y la integridad.
Este hallazgo se acredita al investigador de seguridad Abyss Watcher, destacando la colaboración continua entre investigadores y proveedores independientes, identificando y abordando vulnerabilidades críticas de infraestructura antes de una explotación generalizada.
A continuación se muestra una descripción general de la vulnerabilidad:
Los factores de riesgo incluyen productos-OS 11.2 (<11.2.3), PAN-OS 11.1 (<11.1.5), Pan-OS 11.0 (<11.0.6), Pan-OS 10.2 (<10.2.11), Pan-OS 10.1 (<10.1.14-H11), Pan-OS 11.1 (<11.1.5), Pan-Os 11.1 (<11.1.5), Pan-OS. (<11.1.5), Pan-OS 11.1 (<11.1.5), Impact Dennial Services (DOS) utiliza mal prerrequisitos
– Vector de ataque: complejidad de ataque de red: Solicitud de bajo privilegio: Interacción no usuaria: Ninguno – Automatización: YesCVSS 3.1 Puntuación 6.6 (Medio)
Sistemas afectados
La vulnerabilidad afecta a múltiples versiones PAN-OS, que incluyen:
PAN-OS 11.2 (11.2.3 o versión anterior) PAN-OS 11.1 (11.1.5 o versión anterior) PAN-OS 11.0 (11.0.6 o versión anterior) 10.2 (10.2.11 o versión anterior) PAN-OS 10.1 (10.1.14-H11 o versión anterior)
La nube NGFW no se ve afectada y las instalaciones de acceso a Prisma se parcan activamente. Es importante destacar que las organizaciones no necesitan configurar explícitamente SCEPS para que sean vulnerables. Todos los sistemas acumulados están en riesgo.
Estrategia de mitigación
Palo Alto Networks recomienda una actualización inmediata a una versión parcheada.
Para PAN-OS 11.2: Actualice a 11.2.3 o más tarde para PAN-OS 11.1: Actualice a 11.1.5 o más tarde para PAN-OS 11.2: Actualice a 11.0.6 o posterior para PAN-OS 10.2.
Para las organizaciones que no se pueden actualizar de inmediato, existe una solución temporal basada en CLI. Los administradores pueden ejecutar el siguiente comando:
Los equipos de seguridad deben tener en cuenta que después de reiniciar el sistema para mantener la protección, esta mitigación debe volver a aplicarse.
Palo Alto Networks dice que “desconoce la explotación maliciosa de este problema” en la naturaleza. Sin embargo, con los detalles que se hacen públicos, los equipos de seguridad deben asumir que pronto comenzará un intento de explotar.
Los expertos en seguridad de la red recomiendan parches inmediatos de firewalls para Internet, particularmente con la superficie de ataque más importante, como la protección más efectiva contra esta amenaza.
La seguridad de la aplicación ya no es un juego defensivo, es tiempo seguro -> Seminario web gratuito
