CVE-2025-0107 è una vulnerabilità critica nello strumento di migrazione Expedition di Palo Alto Networks (versione 1.2.101 e precedenti). Lo strumento, ampiamente utilizzato per supportare le migrazioni verso la piattaforma NGFW di Palo Alto Networks, ha raggiunto la fine del suo ciclo di vita (End-of-Life, EoL) il 31 dicembre 2024. Nonostante fosse progettato per un uso temporaneo, molte organizzazioni continuano ad affidarsi a Expedition in ambienti di produzione, aumentando l’esposizione al rischio di sfruttamento.

La vulnerabilità ha attirato notevole attenzione in seguito alla divulgazione pubblica dei dettagli tecnici e di un exploit proof-of-concept (PoC) da parte di un ricercatore di sicurezza in collaborazione con SSD Secure Disclosure. Questa divulgazione sensibilizza il pubblico, ma incrementa anche il rischio di sfruttamento attivo da parte di attori malevoli.

Riassunto tecnico

CVE-2025-0107 è una vulnerabilità di esecuzione di codice remoto causata da una validazione inadeguata nell’endpoint /API/regionsDiscovery.php. Questa falla consente ad attaccanti non autenticati di manipolare l’applicazione Expedition affinché si connetta a un server Apache Spark controllato dall’attaccante. Il server malevolo può fornire un pacchetto Java appositamente creato come risposta, che viene eseguito dal server Expedition vulnerabile senza un’adeguata verifica.

Se sfruttata, questa vulnerabilità consente all’attaccante di eseguire codice arbitrario sul server Expedition. Il problema deriva da misure di sicurezza insufficienti nella gestione delle connessioni esterne e nell’elaborazione dei pacchetti Java. La disponibilità di un codice exploit PoC aumenta notevolmente la probabilità di sfruttamento.

Raccomandazioni

1. Disattivare Expedition: Accelerare la rimozione di Expedition da tutti gli ambienti, poiché ha raggiunto l’EoL e non riceve più aggiornamenti di sicurezza.
2. Limitare l’accesso: Isolare immediatamente eventuali sistemi Expedition ancora presenti, limitando l’accesso alla rete e bloccando le comunicazioni esterne.
3. Passare a strumenti supportati: Utilizzare strumenti di migrazione supportati o alternative raccomandate da Palo Alto Networks.
4. Aggiornamento delle policy: Implementare una policy chiara di deprecazione per il software EoL, al fine di prevenire l’uso continuato di strumenti non supportati in ambienti di produzione.