SEK - Security Ecosystem Knowledge

SEK SECURITY ADVISORY

Vulnerabilidade de Negação de Serviço no PAN-OS da Palo Alto Networks Permite Reinicialização Remota de Firewalls
14 NOVEMBRO | 2025
SEVERIDADE: MÉDIA

SEK SECURITY ADVISORY

Denial of Service Vulnerability in Palo Alto Networks PAN-OS Allows Remote Firewall Reboot
NOVEMBER 14 | 2025
SEVERITY: MEDIUM

SEK SECURITY ADVISORY

Vulnerabilidad de denegación de servicio en PAN-OS de Palo Alto Networks permite reinicio remoto de firewalls
14 NOVIEMBRE | 2025
SEVERIDAD: MEDIA

Overview

A Palo Alto Networks divulgou uma vulnerabilidade de negação de serviço (DoS) CVE-2025-4619 (CVSS 6.6) no sistema operacional PAN-OS que permite a atacantes não autenticados reiniciar remotamente firewalls através do envio de um pacote especialmente manipulado. A falha, classificada como CWE-754 (verificação inadequada de condições incomuns ou excepcionais), afeta firewalls PA-Series, VM-Series e implantações Prisma Access, mas não impacta Cloud NGFW. A vulnerabilidade foi identificada pela própria Palo Alto Networks durante processos internos de segurança.

A exploração ocorre através do plano de dados (dataplane) do PAN-OS quando o firewall possui proxy de URL ou qualquer política de descriptografia configurada. Atacantes podem enviar pacotes maliciosos que provocam a reinicialização inesperada do dispositivo sem necessidade de autenticação, credenciais ou interação do usuário. O cenário se agrava quando há tentativas repetidas de exploração, que podem forçar o firewall a entrar em modo de manutenção, causando interrupção severa nas operações de rede. A vulnerabilidade afeta múltiplas versões do PAN-OS, incluindo as séries 11.2, 11.1 e 10.2, com versões específicas vulneráveis dentro de cada linha. A falha só é explorável em firewalls com configurações específicas de proxy URL ou políticas de descriptografia, e pode ser explorada independentemente do tráfego corresponder a políticas de descriptografia explícitas, não-descriptografia ou nenhuma política.

Embora classificada como severidade MÉDIA (CVSS 6.6), a vulnerabilidade representa risco operacional significativo. Durante uma reinicialização forçada, o firewall cessa suas funções de segurança, deixando a rede exposta e inacessível. Isso pode resultar em downtime operacional, perda de produtividade, interrupção de serviços críticos e potencial janela para outros ataques durante o período de recuperação. Até o momento da divulgação, a Palo Alto Networks não tem conhecimento de exploração maliciosa ativa desta vulnerabilidade, mas a aplicação de patches permanece importante considerando a facilidade de exploração e o amplo uso dos produtos Palo Alto Networks em ambientes corporativos.

Produtos Afetados

CVE Severidade Produto Afetado
CVE-2025-4619 Média PAN-OS 11.2 (versões anteriores à 11.2.5, 11.2.4-h4, 11.2.3-h6), PAN-OS 11.1 (versões anteriores à 11.1.7, 11.1.4-h13, 11.1.2-h18 com exceções específicas), PAN-OS 10.2 (versões 10.2.7-h11 até 10.2.13, com exceções específicas de hotfixes), Prisma Access em PAN-OS (versões anteriores à 11.2.4-h4 ou 10.2.10-h14)

Recomendações

A Palo Alto Networks disponibilizou patches de segurança para todas as versões afetadas e organizações devem implementar as seguintes ações:

  • Aplicar atualizações de segurança imediatamente: Atualizar para PAN-OS 11.2.5, 11.2.4-h4 ou 11.2.3-h6 (série 11.2), 11.1.7, 11.1.6-h1, 11.1.4-h13 ou 11.1.2-h18 conforme aplicável (série 11.1), ou 10.2.14 e hotfixes específicos (série 10.2) de acordo com a tabela de soluções do advisory oficial
  • Revisar configurações de proxy e descriptografia: Verificar se o firewall possui proxy de URL ou políticas de descriptografia habilitadas, pois a vulnerabilidade só é explorável nessas configurações
  • Analisar logs de reinicializações: Examinar logs do sistema dos últimos 30 dias em busca de reinicializações não programadas ou anômalas que possam indicar tentativas de exploração
  • Implementar monitoramento de disponibilidade: Estabelecer alertas para detecção de reinicializações inesperadas ou entrada em modo de manutenção dos firewalls Palo Alto Networks
  • Priorizar firewalls expostos: Dar prioridade máxima à atualização de dispositivos com plano de dados acessível a partir de redes não confiáveis ou internet
  • Documentar configurações críticas: Manter documentação atualizada das configurações de proxy e descriptografia para facilitar avaliação de exposição e planejamento de remediação
  • Testar patches em ambiente não produtivo: Quando possível, validar atualizações em ambiente de teste antes da aplicação em produção para garantir estabilidade operacional

Fontes

Overview

Palo Alto Networks disclosed a denial-of-service (DoS) vulnerability CVE-2025-4619 (CVSS 6.6) in the PAN-OS operating system that allows unauthenticated attackers to remotely reboot firewalls by sending a specially crafted packet. The flaw, classified as CWE-754 (improper check for unusual or exceptional conditions), affects PA-Series firewalls, VM-Series firewalls, and Prisma Access deployments, but does not impact Cloud NGFW. The vulnerability was identified by Palo Alto Networks itself during internal security processes.

The exploitation occurs through the PAN-OS dataplane when the firewall has URL proxy or any decryption policy configured. Attackers can send malicious packets that trigger unexpected device reboot without requiring authentication, credentials, or user interaction. The scenario worsens when there are repeated exploitation attempts, which can force the firewall into maintenance mode, causing severe interruption in network operations. The vulnerability affects multiple PAN-OS versions, including the 11.2, 11.1, and 10.2 series, with specific vulnerable versions within each line. The flaw is only exploitable on firewalls with specific URL proxy or decryption policy configurations, and can be exploited regardless of whether traffic matches explicit decryption, no-decryption, or no policies.

Although classified as MEDIUM severity (CVSS 6.6), the vulnerability represents significant operational risk. During a forced reboot, the firewall ceases its security functions, leaving the network exposed and inaccessible. This can result in operational downtime, loss of productivity, critical service interruption, and potential window for other attacks during the recovery period. As of disclosure, Palo Alto Networks has no knowledge of active malicious exploitation of this vulnerability, but applying patches remains important considering the ease of exploitation and widespread use of Palo Alto Networks products in corporate environments.

Affected Products

CVE Severity Affected Product
CVE-2025-4619 Medium PAN-OS 11.2 (versions prior to 11.2.5, 11.2.4-h4, 11.2.3-h6), PAN-OS 11.1 (versions prior to 11.1.7, 11.1.4-h13, 11.1.2-h18 with specific exceptions), PAN-OS 10.2 (versions 10.2.7-h11 through 10.2.13, with specific hotfix exceptions), Prisma Access on PAN-OS (versions prior to 11.2.4-h4 or 10.2.10-h14)

Recommendations

Palo Alto Networks has released security patches for all affected versions and organizations should implement the following actions:

  • Apply security updates immediately: Update to PAN-OS 11.2.5, 11.2.4-h4, or 11.2.3-h6 (11.2 series), 11.1.7, 11.1.6-h1, 11.1.4-h13, or 11.1.2-h18 as applicable (11.1 series), or 10.2.14 and specific hotfixes (10.2 series) according to the official advisory solution table
  • Review proxy and decryption configurations: Verify if the firewall has URL proxy or decryption policies enabled, as the vulnerability is only exploitable in these configurations
  • Analyze reboot logs: Examine system logs from the last 30 days for unscheduled or anomalous reboots that may indicate exploitation attempts
  • Implement availability monitoring: Establish alerts for detecting unexpected reboots or entry into maintenance mode of Palo Alto Networks firewalls
  • Prioritize exposed firewalls: Give maximum priority to updating devices with dataplane accessible from untrusted networks or the internet
  • Document critical configurations: Maintain updated documentation of proxy and decryption configurations to facilitate exposure assessment and remediation planning
  • Test patches in non-production environment: When possible, validate updates in a test environment before applying to production to ensure operational stability

Sources

Overview

Palo Alto Networks divulgó una vulnerabilidad de denegación de servicio (DoS) CVE-2025-4619 (CVSS 6.6) en el sistema operativo PAN-OS que permite a atacantes no autenticados reiniciar remotamente firewalls mediante el envío de un paquete especialmente manipulado. La falla, clasificada como CWE-754 (verificación inadecuada de condiciones inusuales o excepcionales), afecta a firewalls PA-Series, VM-Series e implementaciones de Prisma Access, pero no impacta Cloud NGFW. La vulnerabilidad fue identificada por la propia Palo Alto Networks durante procesos internos de seguridad.

La explotación ocurre a través del plano de datos (dataplane) de PAN-OS cuando el firewall tiene configurado un proxy de URL o cualquier política de descifrado. Los atacantes pueden enviar paquetes maliciosos que provocan el reinicio inesperado del dispositivo sin necesidad de autenticación, credenciales o interacción del usuario. El escenario se agrava cuando hay intentos repetidos de explotación, que pueden forzar al firewall a entrar en modo de mantenimiento, causando interrupción severa en las operaciones de red. La vulnerabilidad afecta a múltiples versiones de PAN-OS, incluidas las series 11.2, 11.1 y 10.2, con versiones específicas vulnerables dentro de cada línea. La falla solo es explotable en firewalls con configuraciones específicas de proxy URL o políticas de descifrado, y puede ser explotada independientemente de si el tráfico coincide con políticas de descifrado explícitas, no-descifrado o ninguna política.

Aunque clasificada como severidad MEDIA (CVSS 6.6), la vulnerabilidad representa un riesgo operacional significativo. Durante un reinicio forzado, el firewall cesa sus funciones de seguridad, dejando la red expuesta e inaccesible. Esto puede resultar en tiempo de inactividad operacional, pérdida de productividad, interrupción de servicios críticos y ventana potencial para otros ataques durante el período de recuperación. Hasta el momento de la divulgación, Palo Alto Networks no tiene conocimiento de explotación maliciosa activa de esta vulnerabilidad, pero la aplicación de parches permanece importante considerando la facilidad de explotación y el amplio uso de los productos Palo Alto Networks en entornos corporativos.

Productos Afectados

CVE Severidad Producto Afectado
CVE-2025-4619 Media PAN-OS 11.2 (versiones anteriores a 11.2.5, 11.2.4-h4, 11.2.3-h6), PAN-OS 11.1 (versiones anteriores a 11.1.7, 11.1.4-h13, 11.1.2-h18 con excepciones específicas), PAN-OS 10.2 (versiones 10.2.7-h11 hasta 10.2.13, con excepciones específicas de hotfixes), Prisma Access en PAN-OS (versiones anteriores a 11.2.4-h4 o 10.2.10-h14)

Recomendaciones

Palo Alto Networks ha publicado parches de seguridad para todas las versiones afectadas y las organizaciones deben implementar las siguientes acciones:

  • Aplicar actualizaciones de seguridad inmediatamente: Actualizar a PAN-OS 11.2.5, 11.2.4-h4 o 11.2.3-h6 (serie 11.2), 11.1.7, 11.1.6-h1, 11.1.4-h13 o 11.1.2-h18 según corresponda (serie 11.1), o 10.2.14 y hotfixes específicos (serie 10.2) de acuerdo con la tabla de soluciones del advisory oficial
  • Revisar configuraciones de proxy y descifrado: Verificar si el firewall tiene configurado proxy de URL o políticas de descifrado habilitadas, ya que la vulnerabilidad solo es explotable en estas configuraciones
  • Analizar registros de reinicios: Examinar los registros del sistema de los últimos 30 días en busca de reinicios no programados o anómalos que puedan indicar intentos de explotación
  • Implementar monitoreo de disponibilidad: Establecer alertas para la detección de reinicios inesperados o entrada en modo de mantenimiento de los firewalls Palo Alto Networks
  • Priorizar firewalls expuestos: Dar máxima prioridad a la actualización de dispositivos con plano de datos accesible desde redes no confiables o internet
  • Documentar configuraciones críticas: Mantener documentación actualizada de las configuraciones de proxy y descifrado para facilitar la evaluación de exposición y planificación de remediación
  • Probar parches en ambiente no productivo: Cuando sea posible, validar las actualizaciones en un ambiente de prueba antes de la aplicación en producción para garantizar estabilidad operacional

Fuentes

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos

SEK Content Hub

Access our content hub and check out the latest reports and news on cybersecurity.

Access Content Hub

Central de Contenidos SEK

Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.

Acceder a la Central de Contenidos