Confusione dei percorsi in Nginx/Apache porta a bypass dell’autenticazione in PAN-OS (CVE-2025-0108)

Una vulnerabilità critica attivamente sfruttata è stata scoperta nell’interfaccia di gestione di PAN-OS, sfruttando una combinazione dei comportamenti di elaborazione dei percorsi di Nginx e Apache. Questa vulnerabilità deriva da processi incoerenti di decodifica degli URL e normalizzazione dei percorsi tra i due componenti, consentendo agli attaccanti di aggirare i meccanismi di autenticazione. Il problema è stato identificato nell’interfaccia di gestione di PAN-OS di Palo Alto Networks, ampiamente utilizzato in firewall aziendali e soluzioni di sicurezza.

PaloAltoNetworks PAN-OS
2025-02-17 10:05:16
Fix Available, Active Exploitation

Riassunto tecnico

La vulnerabilità sfrutta il modo in cui PAN-OS utilizza Nginx e Apache per elaborare le richieste web:

  1. Comportamento di Nginx: Nginx gestisce la richiesta iniziale e applica controlli di autenticazione basati sugli header. Utilizza X-pan-AuthCheck per indicare se è necessaria l’autenticazione, con alcuni percorsi (es. /unauth/) esclusi dall’autenticazione.

  2. Comportamento di Apache: Apache elabora ulteriormente la richiesta e applica regole di riscrittura, che possono attivare reindirizzamenti interni e ulteriori fasi di decodifica dell’URL.

Un attaccante può creare una richiesta malevola utilizzando una doppia codifica dell’URL (es. %252e) per sfruttare le discrepanze nel comportamento di decodifica tra Nginx e Apache. Mentre Nginx interpreta il percorso come non malevolo, Apache elabora la stessa richiesta in modo diverso dopo una seconda fase di decodifica, risolvendola in un percorso che aggira l’autenticazione. Questo comporta l’accesso non autorizzato a endpoint protetti, come /php/ztp_gate.php, consentendo agli attaccanti il pieno controllo sull’interfaccia di gestione.

Raccomandazioni

  1. Distribuzione delle patch: Assicurarsi che i sistemi siano aggiornati all’ultima versione di PAN-OS, poiché Palo Alto Networks ha probabilmente rilasciato una patch per risolvere questa vulnerabilità.

  2. Indurimento della configurazione:

    • Applicare una normalizzazione rigorosa dei percorsi sia nelle configurazioni di Nginx che in quelle di Apache per prevenire una gestione incoerente degli URL.
    • Disabilitare i pattern di traversing dei percorsi implementando controlli aggiuntivi lato server.

  3. Validazione degli header personalizzati: Implementare una validazione rigorosa degli header di autenticazione, assicurandosi che non possano essere manipolati arbitrariamente da componenti a monte.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In