黑客通过漏洞组合攻击获得Palo Alto防火墙的root权限

Palo Alto Networks PAN-OS软件中一个上周刚修补的高严重性认证绕过漏洞，目前正被威胁攻击者积极利用，以获得受影响防火墙系统的root级别访问权限。

图片来源：Ken Wolter / Shutterstoc

该漏洞被追踪为CVE-2025-0108，允许未经认证的攻击者通过网络访问PAN-OS管理网页界面，绕过认证要求。漏洞的严重性评分为CVSS 8.8（满分10分），但仅当允许从互联网上的外部IP地址访问管理网页界面时成立。如果将该访问限制在指定的IP地址，评分则会显著降至5.9，成为一种有效的变通措施。

Palo Alto在安全公告中表示，此绕过漏洞使攻击者能够调用某些PHP脚本，虽然这些脚本可能无法实现远程代码执行，但会“对PAN-OS的完整性和保密性产生负面影响”。

攻击行为涉及将CVE-2025-0108与两个旧漏洞结合在一起，其中一个漏洞之前已被积极利用，允许在受影响的系统上进行权限提升和认证文件读取。

根据公告更新，“Palo Alto Networks已观察到攻击者试图在未修补且未受保护的PAN-OS网页管理界面上，将CVE-2025-0108与CVE-2024-9474和CVE-2025-0111结合在一起进行利用。”

CVE-2025-0108的发现源于对CVE-2024-9474的补丁后分析。CVE-2024-9474是一个中等严重性漏洞（CVSS 6.9/10），去年11月已被积极利用。当时，攻击者将CVE-2024-9474与另一个影响PAN-OS的关键认证绕过漏洞（CVE-2024-0012）结合在一起，从而允许在受感染的系统上远程执行代码。

现在，威胁攻击者将CVE-2025-0108和CVE-2024-9474与一个高严重性漏洞（CVE-2025-0111）结合在一起，用于未经授权的root级别访问，可能允许提取敏感配置数据和用户凭证。

所有这三个漏洞均影响PAN-OS 10.1、10.2、11.1和11.2版本，且已分别发布修补程序。Palo Alto Networks确认其Cloud NGFW和Prisma Access服务未受影响。

作为一种变通方法，建议管理员仅允许受信任的内部IP地址访问管理网页界面。即便如此，未修补的系统仍可能面临风险，只是风险有所降低。此外，公告补充道，拥有威胁预防订阅的客户可以通过启用威胁ID 510000和510001来阻止试图利用CVE-2025-0108和CVE-2025-0111的攻击尝试。

防火墙是单主机架构，早期使用包过滤的技术，网闸是双主机2+1架构，通过私有的协议摆渡的方式进行数据交换；网闸和防火墙的应用场景也是不同的。防火墙:网络已经存在考虑安全问题上防火墙，但首先要保证网络的连通性，其次才是安全问题；

网闸是保证安全的基础上进行数据交换，网闸是两个网络已经存在，现在两个网络不得不互联，互联就要保证安全，网闸是现在唯最安全的网络边界安全隔离的产品，只有网闸这种产品才能解决这个问题，所以必须用网闸。

深网科技顺应国家核心技术自主可控发展大势，产品研发聚焦于申威、飞腾等国产CPU平台，技术覆盖跨域安全交换、安全防护、网络加密等领域，实现了自主研发、自主生产。目前已推出网闸、光闸等跨域交换安全产品。

原文链接：https://mp.weixin.qq.com/s/nD8bis3-dMvPkWN_58X4RA