高危認(rèn)證繞過(guò)漏洞被利用

Palo Alto Networks PAN-OS軟件中一個(gè)上周剛修補(bǔ)的高嚴(yán)重性認(rèn)證繞過(guò)漏洞，目前正被威脅攻擊者積極利用，以獲得受影響防火墻系統(tǒng)的root級(jí)別訪問(wèn)權(quán)限。

該漏洞被追蹤為CVE-2025-0108，允許未經(jīng)認(rèn)證的攻擊者通過(guò)網(wǎng)絡(luò)訪問(wèn)PAN-OS管理網(wǎng)頁(yè)界面，繞過(guò)認(rèn)證要求。漏洞的嚴(yán)重性評(píng)分為CVSS 8.8（滿分10分），但僅當(dāng)允許從互聯(lián)網(wǎng)上的外部IP地址訪問(wèn)管理網(wǎng)頁(yè)界面時(shí)成立。如果將該訪問(wèn)限制在指定的IP地址，評(píng)分則會(huì)顯著降至5.9，成為一種有效的變通措施。

Palo Alto在安全公告中表示，此繞過(guò)漏洞使攻擊者能夠調(diào)用某些PHP腳本，雖然這些腳本可能無(wú)法實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，但會(huì)“對(duì)PAN-OS的完整性和保密性產(chǎn)生負(fù)面影響”。

結(jié)合舊漏洞實(shí)現(xiàn)root權(quán)限提升

攻擊行為涉及將CVE-2025-0108與兩個(gè)舊漏洞結(jié)合在一起，其中一個(gè)漏洞之前已被積極利用，允許在受影響的系統(tǒng)上進(jìn)行權(quán)限提升和認(rèn)證文件讀取。

根據(jù)公告更新，“Palo Alto Networks已觀察到攻擊者試圖在未修補(bǔ)且未受保護(hù)的PAN-OS網(wǎng)頁(yè)管理界面上，將CVE-2025-0108與CVE-2024-9474和CVE-2025-0111結(jié)合在一起進(jìn)行利用?！?/p>

CVE-2025-0108的發(fā)現(xiàn)源于對(duì)CVE-2024-9474的補(bǔ)丁后分析。CVE-2024-9474是一個(gè)中等嚴(yán)重性漏洞（CVSS 6.9/10），去年11月已被積極利用。當(dāng)時(shí)，攻擊者將CVE-2024-9474與另一個(gè)影響PAN-OS的關(guān)鍵認(rèn)證繞過(guò)漏洞（CVE-2024-0012）結(jié)合在一起，從而允許在受感染的系統(tǒng)上遠(yuǎn)程執(zhí)行代碼。

現(xiàn)在，威脅攻擊者將CVE-2025-0108和CVE-2024-9474與一個(gè)高嚴(yán)重性漏洞（CVE-2025-0111）結(jié)合在一起，用于未經(jīng)授權(quán)的root級(jí)別訪問(wèn)，可能允許提取敏感配置數(shù)據(jù)和用戶憑證。

建議立即修補(bǔ)系統(tǒng)

所有這三個(gè)漏洞均影響PAN-OS 10.1、10.2、11.1和11.2版本，且已分別發(fā)布修補(bǔ)程序。Palo Alto Networks確認(rèn)其Cloud NGFW和Prisma Access服務(wù)未受影響。

作為一種變通方法，建議管理員僅允許受信任的內(nèi)部IP地址訪問(wèn)管理網(wǎng)頁(yè)界面。即便如此，未修補(bǔ)的系統(tǒng)仍可能面臨風(fēng)險(xiǎn)，只是風(fēng)險(xiǎn)有所降低。此外，公告補(bǔ)充道，擁有威脅預(yù)防訂閱的客戶可以通過(guò)啟用威脅ID 510000和510001來(lái)阻止試圖利用CVE-2025-0108和CVE-2025-0111的攻擊嘗試。