Une faille de sécurité critique a été détectée dans PAN-OS, le système d’exploitation des pare-feu de Palo Alto Networks. Cette vulnérabilité, référencée sous le code CVE-2025-0108, présente un risque d’authentification contournable, permettant à un attaquant non authentifié d’accéder à l’interface de gestion du pare-feu. Avec un score CVSS de 7.8 sur 10, cette faille représente une menace majeure, en particulier si l’interface web de gestion est exposée à un réseau non sécurisé.
Une vulnérabilité critique dans PAN-OS
Un risque d’authentification contournable
Cette faille affecte plusieurs versions du système PAN-OS. Elle permet à un attaquant ayant un accès réseau à l’interface de gestion d’éviter les mécanismes d’authentification pour invoquer certains scripts PHP. Bien que cette exploitation n’autorise pas l’exécution de code à distance, elle compromet l’intégrité et la confidentialité du système.
Les versions affectées et correctifs disponibles
Les versions concernées par la vulnérabilité CVE-2025-0108 incluent :
– PAN-OS 11.2 (avant la mise à jour 11.2.4-h4)
– PAN-OS 11.1 (avant la mise à jour 11.1.6-h1)
– PAN-OS 11.0 (cette version n’étant plus supportée depuis le 17 novembre 2024, il est recommandé d’adopter une version plus récente)
– PAN-OS 10.2 (avant la mise à jour 10.2.13-h3)
– PAN-OS 10.1 (avant la mise à jour 10.1.14-h9)
Les entreprises utilisant l’une de ces versions doivent appliquer les correctifs dès que possible pour renforcer la sécurité et empêcher toute exploitation malveillante.
Autres failles corrigées dans PAN-OS
Une vulnérabilité de suppression de fichiers
En plus de CVE-2025-0108, deux autres vulnérabilités ont été corrigées par Palo Alto Networks. La première, référencée sous CVE-2025-0109, concerne une faille de suppression de fichiers dans l’interface web de gestion de PAN-OS. Elle permet à un attaquant non authentifié ayant un accès réseau de supprimer certains fichiers, notamment des journaux et des fichiers de configuration.
Ce problème de sécurité a reçu un score CVSS de 5.5 et est corrigé dans les versions mises à jour suivantes : 11.2.4-h4, 11.1.6-h1, 10.2.13-h3 et 10.1.14-h9.
Un risque d’injection de commandes
La deuxième faille, identifiée sous CVE-2025-0110, touche le plugin OpenConfig de PAN-OS. Elle permet à un administrateur authentifié ayant la capacité d’exécuter des requêtes gNMI d’exécuter des commandes arbitraires. Cette vulnérabilité, notée 7.3 sur l’échelle CVSS, compromet la sécurité du système en facilitant l’exécution de commandes non autorisées.
La mise à jour du plugin vers la version 2.1.2 est essentielle pour éliminer ce risque. Pour les utilisateurs ne nécessitant pas OpenConfig, il est recommandé de le désactiver ou de le désinstaller.
Mesures de protection recommandées
Restreindre l’accès à l’interface de gestion
Pour réduire les risques liés à ces vulnérabilités, il est fortement conseillé de limiter l’accès à l’interface web de gestion de PAN-OS. Restreindre l’accès aux seuls administrateurs autorisés via un jump box peut limiter l’exploitation de ces failles.
Appliquer les mises à jour de sécurité
Mettre à jour le système avec les derniers correctifs de sécurité est impératif pour sécuriser les pare-feu et éviter toute exploitation malveillante. Les entreprises doivent s’assurer que leurs infrastructures utilisent des versions corrigées de PAN-OS et désactiver les fonctionnalités inutiles comme OpenConfig si elles ne sont pas nécessaires.
Protéger votre entreprise contre les menaces et failles de sécurité est une priorité. Nos experts en cybersécurité chez CyberCare vous accompagnent pour auditer, sécuriser et maintenir à jour vos systèmes, assurant ainsi une protection optimale de votre réseau.
