مهاجمان سایبری در حال بهره‌برداری از یک آسیب‌پذیری جدید در فایروال‌های Palo Alto Networks PAN-OS هستند که به آن‌ها اجازه می‌دهد بدون احراز هویت به برخی از اسکریپت‌های PHP دسترسی داشته باشند. این نقص امنیتی با شناسه CVE-2025-0108 اخیراً اصلاح شده و دارای سطح شدت بالا است. طبق گزارش Palo Alto Networks، این آسیب‌پذیری مدیریت وب‌اینترفیس را تحت تأثیر قرار داده و در صورت سوءاستفاده، یک مهاجم بدون احراز هویت در شبکه می‌تواند به تنظیمات حساس فایروال دسترسی پیدا کند، داده‌های امنیتی را استخراج کرده یا تغییراتی در سیستم اعمال کند که منجر به کاهش سطح امنیتی سازمان شود.

شرکت Palo Alto Networks در بولتن امنیتی خود که در ۱۲ فوریه ۲۰۲۵ منتشر شد، از مدیران شبکه خواست که فوراً دستگاه‌های خود را به نسخه‌های زیر به‌روزرسانی کنند تا از این تهدید در امان بمانند:

• 11.2.4-h4 یا جدیدتر
• 11.1.6-h1 یا جدیدتر
• 10.2.13-h3 یا جدیدتر
• 10.1.14-h9 یا جدیدتر

نسخه PAN-OS 11.0 نیز تحت تأثیر این نقص است اما به دلیل رسیدن به پایان عمر (EoL)، دیگر پشتیبانی نمی‌شود و هیچ به‌روزرسانی امنیتی برای آن ارائه نخواهد شد. کاربران این نسخه اکیداً توصیه می‌شود که به نسخه‌های پشتیبانی‌شده ارتقا دهند.

نحوه بهره‌برداری از آسیب‌پذیری

این نقص امنیتی توسط محققان امنیتی Assetnote کشف و به Palo Alto Networks گزارش شده است. آن‌ها پس از انتشار پچ امنیتی، گزارشی منتشر کردند که نشان می‌دهد این آسیب‌پذیری از تداخل بین Nginx و Apache در PAN-OS برای دور زدن احراز هویت استفاده می‌کند. به کمک این ضعف، مهاجمان می‌توانند اطلاعات حساس سیستم را استخراج کرده، تنظیمات فایروال را بازیابی کرده یا حتی برخی از پیکربندی‌ها را تغییر دهند.

به گفته محققان GreyNoise، تلاش‌های سوءاستفاده از این آسیب‌پذیری از ۱۳ فوریه ۲۰۲۵، ساعت ۱۷:۰۰ UTC آغاز شده و از چندین آدرس IP مختلف انجام گرفته است که احتمالاً نشان‌دهنده‌ی حملات از سوی گروه‌های مختلف تهدید است.

بررسی‌ها نشان می‌دهد که بیش از ۴۴۰۰ دستگاه PAN-OS در حال حاضر رابط مدیریتی خود را به‌طور عمومی در اینترنت قرار داده‌اند که آن‌ها را در برابر این حمله آسیب‌پذیر می‌کند. با توجه به انتشار عمومی کد PoC (اثبات مفهوم)، انتظار می‌رود که موج حملات در روزهای آینده افزایش یابد.

اقدامات امنیتی توصیه‌شده

برای جلوگیری از سوءاستفاده از این آسیب‌پذیری، اقدامات زیر توصیه می‌شود:
✅ به‌روزرسانی فوری فایروال‌های PAN-OS به نسخه‌های ایمن‌تر
✅ غیرفعال کردن دسترسی مدیریتی از طریق اینترنت یا محدود کردن آن به آدرس‌های IP مورد اعتماد
✅ بررسی تغییرات مشکوک در تنظیمات مدیریتی و لاگ‌های فایروال

با توجه به شدت این آسیب‌پذیری و تلاش‌های فعال برای سوءاستفاده از آن، نصب اصلاحیه‌های امنیتی در سریع‌ترین زمان ممکن ضروری است.