近期，美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了一則緊急警報(bào)，矛頭直指帕洛阿爾托網(wǎng)絡(luò)公司（Palo Alto Networks）防火墻設(shè)備所搭載的操作系統(tǒng) PAN-OS。該系統(tǒng)現(xiàn)正遭受黑客攻擊，其存在的一個(gè)高嚴(yán)重性身份驗(yàn)證繞過(guò)漏洞（CVE-2025-0108）已被黑客們積極利用。

據(jù)監(jiān)測(cè)，全球范圍內(nèi)已有超過(guò) 25 個(gè)惡意 IP 地址對(duì)未安裝補(bǔ)丁的系統(tǒng)發(fā)動(dòng)攻擊。聯(lián)邦當(dāng)局聯(lián)合網(wǎng)絡(luò)安全專家發(fā)出警告：攻擊者很可能將這一漏洞與其他漏洞串聯(lián)起來(lái)，從而對(duì)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成嚴(yán)重破壞。

CVE-2025-0108 的通用漏洞評(píng)分系統(tǒng) 3.1 版評(píng)分為 7.8，這意味著，未經(jīng)身份驗(yàn)證但能夠訪問(wèn) PAN-OS 管理 Web 界面的攻擊者，可以借此繞過(guò)身份驗(yàn)證控制，進(jìn)而執(zhí)行特定的 PHP 腳本。雖說(shuō)這一漏洞本身不會(huì)直接導(dǎo)致遠(yuǎn)程代碼執(zhí)行，但攻擊者通過(guò)未經(jīng)授權(quán)訪問(wèn)敏感功能，已然對(duì)系統(tǒng)的完整性和保密性構(gòu)成了嚴(yán)重威脅。

帕洛阿爾托網(wǎng)絡(luò)公司確認(rèn)，若將 CVE-2025-0108 與 CVE-2024-9474（一個(gè)在 2024 年 11 月已修復(fù)的權(quán)限提升漏洞）結(jié)合利用，黑客便能完全控制設(shè)備。

受此次漏洞影響的版本包括 PAN-OS 10.1（10.1.14-h9 之前的版本）、10.2（10.2.13-h3 之前的版本）、11.1（11.1.6-h1 之前的版本）以及 11.2（11.2.4-h4 之前的版本）。不過(guò)，云下一代防火墻（Cloud NGFW）和 Prisma Access 部署目前不受影響。

攻擊趨勢(shì)與溯源

GreyNoise 的監(jiān)測(cè)數(shù)據(jù)顯示，攻擊態(tài)勢(shì)在短時(shí)間內(nèi)急劇惡化。從 2 月 13 日僅 2 個(gè)惡意 IP 地址發(fā)起攻擊，到 2 月 18 日，這一數(shù)字已激增至 25 個(gè)。進(jìn)一步調(diào)查發(fā)現(xiàn)，這些攻擊流量主要源自美國(guó)、德國(guó)和荷蘭。

攻擊者利用的是公開(kāi)的概念驗(yàn)證（PoC）漏洞利用程序，而這些程序的技術(shù)細(xì)節(jié)，大多來(lái)源于 Assetnote 研究人員的披露。他們?cè)谡{(diào)查早期 PAN-OS 漏洞時(shí)，首次發(fā)現(xiàn)了 CVE-2025-0108 這個(gè)漏洞。

2 月 19 日，帕洛阿爾托網(wǎng)絡(luò)公司更新了安全公告，明確指出針對(duì)未安裝補(bǔ)丁的防火墻，尤其是面向互聯(lián)網(wǎng)的管理界面的攻擊數(shù)量正在 “不斷增加”。

對(duì)此，帕洛阿爾托網(wǎng)絡(luò)公司發(fā)言人史蒂文?泰（Steven Thai）強(qiáng)調(diào)：“我們強(qiáng)烈敦促所有客戶立即應(yīng)用更新，并嚴(yán)格限制管理界面的訪問(wèn)權(quán)限?！?/p>

應(yīng)對(duì)措施與建議

CISA 和帕洛阿爾托網(wǎng)絡(luò)公司共同給出了以下應(yīng)對(duì)建議：

• 立即應(yīng)用補(bǔ)?。罕M快將 PAN-OS 升級(jí)到 10.1.14-h9、10.2.13-h3、11.1.6-h1 或 11.2.4-h4 版本，這些版本已修復(fù) CVE-2025-0108 漏洞。
• 限制管理界面訪問(wèn)：只允許受信任的內(nèi)部 IP 地址進(jìn)行連接，堅(jiān)決避免管理界面暴露在公共互聯(lián)網(wǎng)中。
• 禁用未使用的服務(wù)：若不需要 OpenConfig 插件，應(yīng)及時(shí)將其停用，以防它成為額外的攻擊入口。
• 監(jiān)測(cè)攻擊行為：借助 GreyNoise 等威脅情報(bào)平臺(tái)，實(shí)時(shí)跟蹤與 CVE-2025-0108 相關(guān)的惡意 IP 地址。

Assetnote 的舒巴姆?沙阿（Shubham Shah）指出，CVE-2025-0108 的真正威脅在于，它為攻擊者提供了初始訪問(wèn)途徑。他強(qiáng)調(diào)：“攻擊者會(huì)將這個(gè)漏洞與二次漏洞利用程序結(jié)合，從而實(shí)現(xiàn)命令執(zhí)行?！?這種攻擊策略并非首次出現(xiàn)，與之前利用 CVE-2024-0012 和 CVE-2024-9474 針對(duì) PAN-OS 身份驗(yàn)證機(jī)制的攻擊活動(dòng)如出一轍。

對(duì)于依賴帕洛阿爾托防火墻的聯(lián)邦機(jī)構(gòu)和企業(yè)而言，當(dāng)務(wù)之急是優(yōu)先部署補(bǔ)丁，因?yàn)槲词鼙Ｗo(hù)的設(shè)備隨時(shí)都有被攻擊的風(fēng)險(xiǎn)。CISA 發(fā)布這一警報(bào)，與其 “設(shè)計(jì)安全” 倡議高度契合，旨在敦促供應(yīng)商和客戶從源頭上消除關(guān)鍵基礎(chǔ)設(shè)施中的默認(rèn)暴露風(fēng)險(xiǎn)。

隨著攻擊活動(dòng)的持續(xù)升級(jí)，各組織務(wù)必爭(zhēng)分奪秒，盡快緩解 CVE-2025-0108 帶來(lái)的安全隱患。在帕洛阿爾托網(wǎng)絡(luò)公司全力遏制威脅的同時(shí)，管理員必須嚴(yán)格落實(shí)訪問(wèn)控制措施，并假定未安裝補(bǔ)丁的設(shè)備已被入侵，提前做好應(yīng)對(duì)準(zhǔn)備。

參考鏈接：https://cybersecuritynews.com/pan-os-vulnerability-actively-exploited/