Η Palo Alto Networks αποκάλυψε μια κρίσιμη ευπάθεια άρνησης παροχής υπηρεσίας στο λογισμικό τείχους προστασίας PAN-OS που επιτρέπει σε μη επιβεβαιωμένους εισβολείς να επανεκκινούν εξ αποστάσεως τα τείχη προστασίας στέλνοντας ειδικά δημιουργημένα πακέτα.
Παρακολούθηση ως CVE-2025-4619, η ευπάθεια ενέχει σημαντικούς κινδύνους για οργανισμούς που βασίζονται στα τείχη προστασίας Palo Alto για την ασφάλεια του δικτύου.
Το ελάττωμα, που προσδιορίζεται ως CWE-754 (Ακατάλληλος έλεγχος για ασυνήθιστες ή εξαιρετικές συνθήκες), υπάρχει στο επίπεδο δεδομένων λογισμικού PAN-OS.
Οι εισβολείς μπορούν να εκμεταλλευτούν αυτήν την ευπάθεια χωρίς έλεγχο ταυτότητας, διαπιστευτήρια ή αλληλεπίδραση με τον χρήστη. Όταν είναι επιτυχές, το κακόβουλο πακέτο ενεργοποιεί μια απροσδόκητη επανεκκίνηση του τείχους προστασίας.
Πιο ανησυχητικό, οι επαναλαμβανόμενες προσπάθειες εκμετάλλευσης μπορούν να αναγκάσουν το τείχος προστασίας σε λειτουργία συντήρησης. Σοβαρή διακοπή των λειτουργιών του δικτύου και δυνητικά εκτεθειμένοι οργανισμοί σε απειλές κατά τη διάρκεια διακοπής λειτουργίας.
| Ιδιότης | Αξία |
|---|---|
| CVE ID | CVE-2025-4619 |
| Αναφορά | PAN-247099 |
| Τύπος ευπάθειας | Άρνηση υπηρεσίας (DoS) |
| Αδυναμία | CWE-754: Ακατάλληλος έλεγχος για ασυνήθιστες ή εξαιρετικές συνθήκες |
| Βαθμολογία CVSS v4.0 | 6,6 (ΜΕΣΑΙΟ) |
| Βαθμολογία CVSS-B | 8.7 |
Η Palo Alto Networks εκχώρησε στην ευπάθεια μια βαθμολογία CVSS 4.0 6,6, βαθμολογώντας την ως ΜΕΣΑΙΑ σοβαρότητα με ΜΕΤΡΙΑ επείγουσα ανάγκη.
Ωστόσο, η βαθμολογία CVSS-B φτάνει το 8,7, αντικατοπτρίζοντας τον πιθανό επιχειρηματικό αντίκτυπο. Το διάνυσμα επίθεσης βασίζεται σε δίκτυο και είναι χαμηλής πολυπλοκότητας.
Η ευπάθεια επηρεάζει άμεσα τη διαθεσιμότητα του προϊόντος, υπογραμμίζοντας τις δυνατότητές του να διακόψει κρίσιμη υποδομή δικτύου.
Αναπτύξεις σειρές PA, σειρές VM και Prisma Access
Η ευπάθεια επηρεάζει τα τείχη προστασίας της σειράς PA, τα τείχη προστασίας της σειράς VM και τις αναπτύξεις Prisma Access που εκτελούν ευάλωτες εκδόσεις PAN-OS. Το Cloud NGFW δεν επηρεάζεται.
Στις ευάλωτες εκδόσεις περιλαμβάνονται το PAN-OS 10.2 (μέχρι 10.2.13), 11.1 (μέχρι 11.1.6) και 11.2 (μέχρι 11.2.4). Τα PAN-OS 12.1 και 10.1 δεν επηρεάζονται.
Είναι σημαντικό ότι η εκμετάλλευση απαιτεί μια συγκεκριμένη διαμόρφωση: το τείχος προστασίας πρέπει να έχει έναν διακομιστή μεσολάβησης URL ή μια πολιτική αποκρυπτογράφησης ενεργοποιημένη. ακόμη και με ρητές πολιτικές μη αποκρυπτογράφησης, η ευπάθεια μπορεί να είναι εκμεταλλεύσιμη.
Δίκτυα Palo Alto συνιστά αναβάθμιση σε επιδιορθωμένες εκδόσεις. Για PAN-OS 11.2. Οι οργανισμοί θα πρέπει να ενημερώσουν στην 11.2.5 ή μεταγενέστερη.
Για 11.1, αναβάθμιση σε 11.1.7. Οι χρήστες του PAN-OS 10.2 θα πρέπει να επιδιορθώσουν την έκδοση 10.2.14 ή να εφαρμόσουν την κατάλληλη επείγουσα ανάγκη, ανάλογα με την τρέχουσα έκδοσή τους. Η εταιρεία αναφέρει ότι δεν υπάρχουν γνωστές λύσεις επίλυσης.
Επί του παρόντος, η Palo Alto Networks δεν έχει εντοπίσει καμία ενεργή κακόβουλη εκμετάλλευση αυτής της ευπάθειας. Οι διαχειριστές θα πρέπει να δώσουν προτεραιότητα στην ενημέρωση κώδικα, δεδομένης της ευκολίας εκμετάλλευσης και του πιθανού λειτουργικού αντίκτυπου.
