Vulnerabilidades críticas en PAN-OS de Palo Alto Networks

Palo Alto Networks ha publicado alertas de seguridad sobre vulnerabilidades críticas en su sistema operativo PAN-OS, que afecta varios dispositivos de seguridad, como firewalls y sistemas de acceso remoto. Estas vulnerabilidades pueden permitir a atacantes sin autenticación realizar ataques de denegación de servicio (DoS) o leer archivos de manera no autorizada, comprometiendo la disponibilidad y la confidencialidad del sistema.

• CVE-2025-0114 (CVSS: 8.2): Esta vulnerabilidad de denegación de servicio (DoS) en la función GlobalProtect de PAN-OS permite a un atacante sin autenticación dejar el servicio inaccesible, mediante el envío de una gran cantidad de paquetes especialmente diseñados durante un período de tiempo prolongado. Este problema afecta tanto al portal como al gateway de GlobalProtect.

• CVE-2025-0115 (CVSS: 6.8): Una vulnerabilidad en PAN-OS permite a un administrador autenticado en la interfaz de línea de comandos (CLI) leer archivos arbitrarios, lo que pone en riesgo la confidencialidad de la información almacenada.

• CVE-2025-0116 (CVSS: 5.1): Esta vulnerabilidad de DoS en PAN-OS provoca que el firewall se reinicie inesperadamente cuando procesa un marco LLDP especialmente diseñado. Reintentos repetidos de este ataque pueden poner el firewall en modo de mantenimiento.

Producto, versiones afectadas y solución:

CVE	Producto Afectado	Versiones Afectadas	Solución
CVE-2025-0114	PAN-OS (GlobalProtect)	PAN-OS 11.0: Versiones menores a la 11.0.2. PAN-OS 10.2: Versiones menores a la 10.2.5. PAN-OS 10.1: Versiones menores a la 10.1.14-h11.	Actualizar PAN-OS 11.0: 11.0.2. PAN-OS 10.2: 10.2.5. PAN-OS 10.1: 10.1.14-h11.
CVE-2025-0115	PAN-OS (CLI)	PAN-OS 11.2: Todas las versiones anteriores a la 11.2.3. PAN-OS 11.1: Todas las versiones anteriores a la 11.1.5. PAN-OS 11.0: Todas las versiones anteriores a la 11.0.6. PAN-OS 10.2: Todas las versiones anteriores a la 10.2.11. PAN-OS 10.1: Todas las versiones anteriores a la 10.1.14-h11.	Actualizar PAN-OS 11.2: 11.2.3. PAN-OS 11.1: 11.1.5. PAN-OS 11.0: 11.0.6. PAN-OS 10.2: 10.2.11. PAN-OS 10.1: 10.1.14-h11.
CVE-2025-0116	PAN-OS (Firewall, LLDP)	PAN-OS 11.2: Todas las versiones anteriores a la 11.2.5. PAN-OS 11.1: Todas las versiones anteriores a la 11.1.8. PAN-OS 10.2: Todas las versiones anteriores a la 10.2.14 PAN-OS 10.1: Todas las versiones anteriores a la 10.1.14-h11.	Actualizar PAN-OS 11.2: 11.2.5. PAN-OS 11.1: 11.1.8. PAN-OS 10.2: 10.2.14 PAN-OS 10.1: 10.1.14-h11.

Recomendaciones:

• Actualizar a las versiones más recientes de PAN-OS para mitigar las vulnerabilidades conocidas.
• Verificar la configuración de GlobalProtect para asegurarse de que no esté habilitada en versiones vulnerables.
• Deshabilitar LLDP si no es necesario o actualizar a versiones de PAN-OS que no estén afectadas por la vulnerabilidad de DoS.

Referencias:

• https://security.paloaltonetworks.com/CVE-2025-0114
• https://security.paloaltonetworks.com/CVE-2025-0115
• https://security.paloaltonetworks.com/CVE-2025-0116
• https://www.cve.org/CVERecord?id=CVE-2025-0114
• https://www.cve.org/CVERecord?id=CVE-2025-0115
• https://www.cve.org/CVERecord?id=CVE-2025-0116