美國網路安全暨基礎設施安全局(CISA)近日將Palo Alto Networks PAN-OS的認證繞過漏洞(CVE-2025-0108)列入已知被利用漏洞(KEV)目錄,並警告該漏洞正遭受活躍攻擊。
這個被評為高危險性的漏洞(CVSS評分7.8)存在於Palo Alto Networks PAN-OS管理網頁介面中。未經認證的攻擊者若能存取管理介面,就能繞過認證機制並執行特定的PHP腳本。受影響版本包括PAN-OS v11.2、v11.1、v10.2和v10.1。
根據安全研究公司GreyNoise的最新數據,目前已有25個惡意IP位址正在積極利用此漏洞,較首次發現時增加了十倍。攻擊流量主要來自美國、德國和荷蘭。更令人擔憂的是,Macnica研究員Sejiyama的掃描結果顯示,在發現的3,490台暴露於網際網路的設備中,僅有少數已完成修補。
漏洞鏈結構
Palo Alto Networks證實,
攻擊者正在將CVE-2025-0108與另外兩個漏洞(CVE-2024-9474和CVE-2025-0111)串連使用,以入侵未修補且未受保護的PAN-OS網頁管理介面。其中:
- CVE-2024-9474是一個權限提升漏洞,允許PAN-OS管理員以root權限執行命令。該漏洞早在2024年11月就被修復,但當時已被確認為零日漏洞。
- CVE-2025-0111則是一個檔案讀取漏洞,允許已認證且能存取管理網頁介面的攻擊者讀取系統中「nobody」用戶可讀取的檔案。
根據Searchlight Cyber Assenote的安全研究員Adam Kues解釋,此漏洞源於PAN-OS的架構設計,其中認證是在代理層執行,但請求會通過具有不同行為的第二層。具體來說,對PAN-OS管理介面的Web請求會經由Nginx、Apache和PHP應用程式三個獨立元件處理,這種架構可能導致標頭偽造和路徑混淆問題。
CISA已要求聯邦機構務必在2025年3月11日前完成修補。Palo Alto Networks建議組織採取以下防護措施:
- 立即為受影響設備安裝更新修補
- 確保只有受信任的內部IP位址可以存取管理介面
- 在管理介面中設定IP白名單,以防止此類漏洞被透過網際網路利用
- 訪問客戶支援入口網站的Assets區域,檢查需要修補的資產
專家強調,考慮到Palo Alto Networks設備的廣泛使用,以及攻擊者對漏洞的快速利用,用戶應盡快採取行動以降低風險。