Компания Palo Alto Networks раскрыла информацию об уязвимости типа «отказ в обслуживании» в своем программном обеспечении PAN-OS, которая позволяет злоумышленникам принудительно вызывать неожиданные перезагрузки межсетевых экранов с помощью специально созданных сетевых пакетов. Данная проблема, получившая идентификатор CVE-2025-4619, затрагивает множество версий PAN-OS, работающих на межсетевых экранах серий PA-Series и VM-Series, а также Prisma Access. Уязвимость позволяет неаутентифицированным злоумышленникам инициировать перезагрузки межсетевых экранов путем отправки вредоносных пакетов через плоскость данных.
Детали уязвимости
Более серьезной проблемой является то, что повторные попытки эксплуатации могут перевести затронутый межсетевой экран в режим технического обслуживания, что эффективно нарушает работу служб сетевой безопасности и оставляет организации уязвимыми для потенциальных атак в течение периода простоя. Согласно рекомендациям по безопасности Palo Alto Networks, опубликованным 12 ноября 2025 года, проблема явно затрагивает межсетевые экраны, настроенные с функциональностью прокси URL или политикой дешифрования. Примечательно, что уязвимость может быть использована даже когда трафик не соответствует явным политикам дешифрования или его отсутствия, что значительно расширяет поверхность атаки для затронутых организаций, использующих эти стандартные конфигурации.
Данный недостаток имеет рейтинг CVSS 6.6 (средняя серьезность) в рамках CVSS 4.0, с базовым показателем 8.7. Уязвимость классифицируется как оказывающая высокое влияние на доступность продукта и имеющая низкую сложность атаки. Для ее эксплуатации не требуется взаимодействия с пользователем или привилегий, что делает ее особенно опасной для систем, доступных из интернета или ненадежных сетей. Затронутые версии охватывают несколько выпусков PAN-OS, включая определенные сборки PAN-OS 10.2, 11.1 и 11.2. Организации, использующие PAN-OS 10.1, 11.2.5 или новее, а также последние версии PAN-OS 12.1, не подвержены данной проблеме безопасности. Развертывания Cloud NGFW также не уязвимы к этому конкретному недостатку.
Palo Alto Networks подчеркивает, что для эксплуатации требуется, чтобы межсетевой экран был настроен либо с прокси URL, либо с политикой дешифрования, что является стандартными конфигурациями в корпоративных средах для фильтрации контента и проверки SSL. Это требование ограничивает масштаб, но все же затрагивает значительное количество производственных развертываний по всему миру, которые полагаются на эти функции безопасности. Компания уже приняла упреждающие меры для защиты клиентов Prisma Access, завершив обновления безопасности для подавляющего большинства пользователей. Оставшиеся клиенты, сталкивающиеся с конфликтами расписания или проблемами окон обслуживания, будут оперативно обновлены через стандартный процесс для обеспечения комплексной защиты.
По состоянию на дату публикации рекомендаций, Palo Alto Networks сообщает об отсутствии свидетельств активной злонамеренной эксплуатации в дикой природе. Тем не менее, компания классифицировала зрелость эксплуатации как «несообщенную» и присвоила умеренный рейтинг срочности исправления. Организациям, использующим затронутые версии PAN-OS, следует расставить приоритеты в применении исправлений до рекомендуемых исправленных версий для предотвращения потенциальных перерывов в обслуживании.
Для ветки PAN-OS 11.2 обновление до версий 11.2.2-h2, 11.2.3-h6, 11.2.4-h4 или 11.2.5 и новее решает проблему. Пользователям PAN-OS 11.1 следует перейти на версии 11.1.2-h18 или новее для защиты. Данное раскрытие информации подчеркивает постоянные проблемы безопасности, с которыми сталкиваются устройства сетевой инфраструктуры, и подтверждает важность поддержания текущих уровней исправлений. Специалисты по кибербезопасности рекомендуют организациям немедленно провести аудит своих систем Palo Alto Networks и запланировать окна обслуживания для применения обновлений. Кроме того, следует рассмотреть возможность временного усиления мониторинга сетевой активности на предмет аномальных шаблонов трафика, которые могут указывать на попытки эксплуатации.
Стоит отметить, что уязвимости в критически важных компонентах безопасности, таких как межсетевые экраны, представляют особый риск, поскольку их компрометация может привести к каскадным последствиям для всей ИТ-инфраструктуры. Следовательно, производители и потребители технологий безопасности должны совместно работать над минимизацией времени между раскрытием уязвимости и ее устранением в производственных средах. Регулярное обновление прошивок и политик остается одним из наиболее эффективных способов защиты от подобных угроз, наряду с реализацией принципа минимальных привилегий и сегментации сети.
