Una vulnerabilidad recientemente descubierta en el software PAN-OS de Palo Alto Networks permite a atacantes remotos forzar el reinicio de los firewalls simplemente enviando un paquete malicioso. La compañía confirmó el problema y advirtió que la falla podría interrumpir las operaciones de red de las organizaciones que utilizan sus sistemas de seguridad.
La vulnerabilidad, identificada como CVE-2025-4619, está relacionada con el manejo inadecuado de condiciones inusuales o excepcionales en el plano de datos de PAN-OS. No requiere autenticación, credenciales ni interacción del usuario. Si se explota, el paquete malicioso puede provocar un reinicio inesperado del firewall.
Los equipos de seguridad están especialmente preocupados porque los intentos de ataque repetidos pueden llevar a los dispositivos afectados al modo de mantenimiento. Esto puede interrumpir gravemente la disponibilidad de la red y dejar a las organizaciones expuestas mientras los firewalls permanecen fuera de línea.
La compañía calificó la vulnerabilidad como de gravedad media con urgencia moderada. Sin embargo, debe considerarse actualizar debido al impacto potencial en el negocio y al hecho de que el ataque se basa en la red y tiene baja complejidad. La falla afecta directamente la disponibilidad del producto, lo que la convierte en un grave riesgo operativo.
El problema afecta a los firewalls de la serie PA, los firewalls de la serie VM y las implementaciones de Prisma Access que ejecutan ciertas versiones de PAN OS. Cloud NGFW no se ve afectado. Las versiones vulnerables incluyen PAN OS 10.2 a 10.2.13, 11.1 a 11.1.6 y 11.2 a 11.2.4. PAN OS 12.1 y 10.1 no se ven afectadas.
La explotación de la vulnerabilidad depende de la configuración específica del firewall. El dispositivo debe tener habilitado un proxy URL o una política de descifrado. Incluso los sistemas con políticas explícitas de no descifrado pueden estar en riesgo.
Palo Alto Networks recomienda a los usuarios actualizar a las versiones parcheadas. Los usuarios de PAN OS 11.2 deben actualizar a la versión 11.2.5 o posterior. Los usuarios de PAN OS 11.1 deben actualizar a la versión 11.1.7. Se recomienda a los usuarios de PAN OS 10.2 instalar la versión 10.2.14 o seguir la recomendación de urgencia según su compilación actual. Por el momento, no existen soluciones alternativas.
Si bien Palo Alto Networks afirma no haber detectado ninguna explotación activa de la vulnerabilidad, se insta a los administradores a priorizar las actualizaciones debido a la simplicidad del ataque y su posible impacto en la infraestructura de red crítica.
Fuente: TheMainStream