Palo-Alto Networks : une grave vulnérabilité activement exploitée

C’est dans un bulletin d’information publié le 12 février que Palo-Alto Networks a rendu publique la vulnérabilité référencée CVE-2025-0108.

Dans ce bulletin, l’équipementier indique que l’exploitation réussie de cette vulnérabilité permet à un « attaquant non authentifié disposant d’un accès réseau à l’interface d’administration Web [de PAN-OS] de contourner l’authentification autrement requise [par celle-ci] et d’invoquer certains scripts PHP ». 

Palo Alto Networks précise que ces scripts « ne permettent pas d’exécuter du code à distance », mais leur invocation est toutefois susceptible « d’affecter négativement l’intégrité et la confidentialité de PAN-OS ».

La CVE-2025-0108 affecte les versions antérieures à 10.1.14-h9 de PAN-OS, ainsi que celles antérieures à 10.2.13-h3, 11.1.6-h1, et 11.2.4-h4. Des mises à jour correctives sont disponibles.

À l’heure où sont publiées ces lignes, le bulletin de Palo Alto Networks indique que l’équipementier « n’a pas connaissance d’exploitation malveillante de ce problème ».

Ce n’est pas l’avis de GreyNoise qui dit, dans un billet de blog, « pouvoir confirmer l’exploitation active de la CVE-2025-0108 ». L’Agence nationale de la sécurité des systèmes d’information (Anssi) semble partager ces conclusions : dans son bulletin d’actualité CERTFR-2025-ACT-007, elle indique que cette vulnérabilité est « exploitée ».

Par sa nature, cette vulnérabilité rappelle la CVE-2024-55591 affectant les produits Fortinet : elle aussi permet de contourner les mécanismes d’authentification appliqués à l’interface Web d’administration. 

À son sujet, l’Anssi rappelait en janvier que « l’exposition d’une interface d’administration sur Internet est contraire aux bonnes pratiques ».