攻击者加大了对运行Palo Alto Networks防火墙设备的软件中存在的一个漏洞的利用力度,利用该漏洞他们可以直接访问底层软件。 周三,Palo Alto Networks首次详细披露了其 PAN-OS 操作系统中被编号为 CVE-2025-0108 的身份验证绕过漏洞。Palo Alto Networks表示,该漏洞 “使得能够访问管理 Web 界面网络的未经验证的攻击者绕过 PAN-OS 管理 Web 界面原本要求的身份验证,并调用某些 PHP 脚本”。“虽然调用这些 PHP 脚本并不能实现远程代码执行,但它会对 PAN-OS 的完整性和机密性产生负面影响。” 运行蜜罐以监控恶意活动的威胁情报服务机构GreyNoise周四报告称,发现了对该漏洞的 “积极利用” 情况。“这个高严重性漏洞使得未经验证的攻击者能够执行特定的 PHP 脚本,有可能导致对易受攻击系统的未经授权访问。” Shadowserver Foundation报告称,从周四开始,其蜜罐遭受的攻击激增。该组织周五报告称,发现约有 3500 个暴露在互联网上的 PAN-OS 管理界面,主要分布在亚洲和北美地区,除非这些界面已打补丁,否则仍处于危险之中。该组织在社交网络 Mastodon 上发布的一条消息中称:“请务必将您的管理界面从公共互联网上移除。” 这些攻击尝试再次提醒人们,边缘设备 —— 包括路由器、虚拟专用网络设备和其他硬件 —— 仍然是攻击者的首要目标。研究人员不断将此类利用漏洞的尝试与犯罪组织和国家级黑客组织联系起来。 Palo Alto Networks表示,CVE-2025-0108 存在于 PAN-OS 10.1、10.2、11.1 和 11.2 的多个版本中,并发布了每个版本的更新以修复该漏洞,同时还警告称,任何仍在使用 PAN-OS 11.0 版本设备的用户都应升级到已修复该漏洞的受支持版本,因为该版本已于 2024 年 11 月 17 日 “终止生命周期”,不再接收更新。 该厂商表示,其云原生的云下一代防火墙(即 NGFW)或其作为服务的 Prisma Access 防火墙中不存在该漏洞。 发现该漏洞的功劳属于澳大利亚攻击面管理初创公司AssetNote—— 该公司最近被Searchlight Cyber收购。AssetNote追踪了对 PAN-OS 的身份验证管理请求是如何由三个独立组件处理的:开源 Web 服务器 Nginx和 Apache,以及 PHP 应用程序。由于这些请求的处理和传递方式,包括 Apache 的 “一些奇怪的路径处理行为”,攻击者可以 “在 PAN-OS 管理界面中实现完全的身份验证绕过”,AssetNote的安全研究员Adam Kues在周三发布的一篇博客文章中说道,这篇文章的发布时间与Palo Alto Networks发布针对这个 “零日漏洞” 的补丁时间一致。 所有暴露在互联网上的 PAN-OS 管理界面都处于危险之中。灰噪公司表示:“依赖 PAN-OS 防火墙的组织应该假定未打补丁的设备正成为攻击目标,并立即采取措施保护它们。” Palo Alto Networks称,如果 “您启用了从互联网或任何不可信网络对管理界面的访问”,那么该漏洞带来的风险是最大的。 自 2022 年以来,将管理 Web 界面的访问限制为受信任的 IP 地址一直是Palo Alto Networks为确保管理界面安全而列出的最佳实践之一,且未做更改。 该厂商还建议始终使用专用的虚拟局域网(VLAN)来隔离所有网络设备的管理界面,以帮助将其访问权限仅限制在管理员范围内;使用jump box 或 jump server(即所有对管理界面的访问都必须首先通过的服务器,部分原因是为了便于更好地审计),以及将访问限制在已批准的 IP 地址,并要求所有连接都使用安全通信方式,即 SSH 或 HTTPS。
