高危認證繞過漏洞被利用

Palo Alto Networks PAN-OS軟件中一個上周剛修補的高嚴重性認證繞過漏洞，目前正被威脅攻擊者積極利用，以獲得受影響防火墻系統(tǒng)的root級別訪問權(quán)限。

該漏洞被追蹤為CVE-2025-0108，允許未經(jīng)認證的攻擊者通過網(wǎng)絡(luò)訪問PAN-OS管理網(wǎng)頁界面，繞過認證要求。漏洞的嚴重性評分為CVSS 8.8（滿分10分），但僅當(dāng)允許從互聯(lián)網(wǎng)上的外部IP地址訪問管理網(wǎng)頁界面時成立。如果將該訪問限制在指定的IP地址，評分則會顯著降至5.9，成為一種有效的變通措施。

Palo Alto在安全公告中表示，此繞過漏洞使攻擊者能夠調(diào)用某些PHP腳本，雖然這些腳本可能無法實現(xiàn)遠程代碼執(zhí)行，但會“對PAN-OS的完整性和保密性產(chǎn)生負面影響”。

結(jié)合舊漏洞實現(xiàn)root權(quán)限提升

攻擊行為涉及將CVE-2025-0108與兩個舊漏洞結(jié)合在一起，其中一個漏洞之前已被積極利用，允許在受影響的系統(tǒng)上進行權(quán)限提升和認證文件讀取。

根據(jù)公告更新，“Palo Alto Networks已觀察到攻擊者試圖在未修補且未受保護的PAN-OS網(wǎng)頁管理界面上，將CVE-2025-0108與CVE-2024-9474和CVE-2025-0111結(jié)合在一起進行利用?！?/p>

CVE-2025-0108的發(fā)現(xiàn)源于對CVE-2024-9474的補丁后分析。CVE-2024-9474是一個中等嚴重性漏洞（CVSS 6.9/10），去年11月已被積極利用。當(dāng)時，攻擊者將CVE-2024-9474與另一個影響PAN-OS的關(guān)鍵認證繞過漏洞（CVE-2024-0012）結(jié)合在一起，從而允許在受感染的系統(tǒng)上遠程執(zhí)行代碼。

現(xiàn)在，威脅攻擊者將CVE-2025-0108和CVE-2024-9474與一個高嚴重性漏洞（CVE-2025-0111）結(jié)合在一起，用于未經(jīng)授權(quán)的root級別訪問，可能允許提取敏感配置數(shù)據(jù)和用戶憑證。

建議立即修補系統(tǒng)

所有這三個漏洞均影響PAN-OS 10.1、10.2、11.1和11.2版本，且已分別發(fā)布修補程序。Palo Alto Networks確認其Cloud NGFW和Prisma Access服務(wù)未受影響。

作為一種變通方法，建議管理員僅允許受信任的內(nèi)部IP地址訪問管理網(wǎng)頁界面。即便如此，未修補的系統(tǒng)仍可能面臨風(fēng)險，只是風(fēng)險有所降低。此外，公告補充道，擁有威脅預(yù)防訂閱的客戶可以通過啟用威脅ID 510000和510001來阻止試圖利用CVE-2025-0108和CVE-2025-0111的攻擊嘗試。