O gigante norte-americano de cibersegurança Palo Alto Networks alertou que hackers estão explorando outra vulnerabilidade em seu software de firewall para invadir redes de clientes não corrigidas.
Atacantes estão explorando uma vulnerabilidade recentemente divulgada no PAN-OS, o sistema operacional que executa os firewalls da Palo Alto Networks, confirmou a empresa sediada na Califórnia na terça-feira.
A empresa de cibersegurança Assetnote descobriu a vulnerabilidade, rastreada como CVE-2025-0108, no início deste mês enquanto analisava duas vulnerabilidades anteriores do firewall Palo Alto que haviam sido usadas em ataques anteriores.
A Palo Alto Networks lançou um aviso no mesmo dia e exortou os clientes a corrigir urgentemente contra o bug mais recente. A empresa atualizou seu aviso na terça-feira para alertar que a vulnerabilidade está em ataque ativo.
A empresa disse que atacantes maliciosos estão encadeando a vulnerabilidade com duas falhas anteriormente divulgadas - CVE-2024-9474 e CVE-2025-0111 - para visar interfaces de gerenciamento web PAN-OS não corrigidas e desprotegidas. CVE-2024-9474 foi explorado em ataques desde novembro de 2024, como relatamos anteriormente.
A Palo Alto Networks não explicou como as três vulnerabilidades estão sendo encadeadas pelos hackers, mas observou que a complexidade do ataque é 'baixa'.
A escala da exploração ainda não é conhecida, mas a startup de inteligência de ameaças GreyNoise disse em um post de blog na terça-feira que observou 25 endereços IP explorando ativamente a vulnerabilidade do PAN-OS, um aumento de dois endereços IP em 13 de fevereiro, sugerindo um aumento na atividade de exploração. As tentativas de exploração foram sinalizadas pela GreyNoise como 'maliciosas', sugerindo que atores de ameaça estão por trás da exploração, ao invés de pesquisadores de segurança.
'Essa falha de alta gravidade permite que atacantes não autenticados executem scripts PHP específicos, potencialmente levando a acesso não autorizado a sistemas vulneráveis', disse a GreyNoise.
A GreyNoise diz ter observado os mais altos níveis de tráfego de ataque nos EUA, Alemanha e Holanda.
Não se sabe quem está por trás desses ataques, ou se dados sensíveis foram roubados das redes dos clientes. A Palo Alto Networks não respondeu imediatamente às perguntas do TechCrunch.
A CISA, a agência de cibersegurança do governo dos EUA, adicionou o último bug da Palo Alto à sua lista pública de Vulnerabilidades Conhecidas Exploradas (KEV) na terça-feira.
