แฮกเกอร์กำลังใช้ประโยชน์จากช่องโหว่ CVE-2025-0108 ในไฟร์วอลล์ PAN-OS ของ Palo Alto Networks ซึ่งช่วยให้ผู้โจมตีสามารถข้ามการยืนยันตัวตนและเข้าถึงระบบบริหารจัดการผ่านเว็บอินเทอร์เฟซได้โดยไม่ต้องใช้รหัสผ่าน แม้ว่าช่องโหว่นี้จะไม่สามารถใช้รันโค้ดระยะไกลได้โดยตรง แต่ก็ส่งผลกระทบต่อความปลอดภัยของข้อมูล โดยนักวิจัยของ Shadowserver Foundation พบว่ามีการพยายามโจมตีผ่านช่องโหว่นี้ตั้งแต่วันที่ 13 กุมภาพันธ์ 2024 โดยใช้โค้ด PoC ที่เพิ่งเผยแพร่
ช่องโหว่นี้ถูกค้นพบโดย Assetnote ซึ่งเผยแพร่รายงานวิเคราะห์เชิงลึกและรายงานไปยัง Palo Alto Networks โดยนักวิจัยพบว่าช่องโหว่ CVE-2025-0108 เกิดจากการจัดการ URL decoding ที่ไม่ถูกต้องภายใน PAN-OS ส่งผลให้สามารถข้ามกระบวนการยืนยันตัวตน (Authentication Bypass) ได้ จุดอ่อนหลักมาจากความแตกต่างในการประมวลผลระหว่าง Nginx และ Apache ทำให้เกิดช่องโหว่แบบ Directory Traversal และสามารถเรียกใช้สคริปต์ PHP โดยไม่ได้รับอนุญาต นอกจากนี้ เนื่องจาก Nginx ปิดการยืนยันตัวตนในบางส่วนของระบบ ผู้โจมตีจึงสามารถเข้าถึงอินเทอร์เฟซการจัดการของ PAN-OS ได้โดยไม่ต้องใช้ข้อมูลรับรอง
Palo Alto Networks แนะนำให้องค์กรเร่งอัปเดตแพตช์เป็นเวอร์ชันที่ปลอดภัยโดยด่วน พร้อมทั้งจำกัดการเข้าถึงอินเทอร์เฟซการจัดการให้เฉพาะเครือข่ายภายในเพื่อลดความเสี่ยงของการถูกโจมตี โดยเวอร์ชันที่ได้รับการแก้ไขแล้ว ได้แก่ PAN-OS 11.2.4-h4, 11.1.6-h1, 10.2.13-h3, และ 10.1.14-h9 ทั้งนี้ ผู้ดูแลระบบควรตรวจสอบการตั้งค่าความปลอดภัยและเฝ้าระวังพฤติกรรมที่ผิดปกติภายในระบบเพื่อป้องกันความเสียหายที่อาจเกิดขึ้น
————————————————————————————————————————
ที่มา : thaicert / วันที่เผยแพร่ 17 กุมภาพันธ์ 2568
Link : https://shorturl.at/kv2BT
