https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html
https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html

新聞

美國CISA示警Palo Alto Networks防火牆漏洞遭大規模利用,列入KEV目錄

2025 / 02 / 20
編輯部
美國CISA示警Palo Alto Networks防火牆漏洞遭大規模利用,列入KEV目錄
美國網路安全暨基礎設施安全局(CISA)近日將Palo Alto Networks PAN-OS的認證繞過漏洞(CVE-2025-0108)列入已知被利用漏洞(KEV)目錄,並警告該漏洞正遭受活躍攻擊。

這個被評為高危險性的漏洞(CVSS評分7.8)存在於Palo Alto Networks PAN-OS管理網頁介面中。未經認證的攻擊者若能存取管理介面,就能繞過認證機制並執行特定的PHP腳本。受影響版本包括PAN-OS v11.2、v11.1、v10.2和v10.1。

根據安全研究公司GreyNoise的最新數據,目前已有25個惡意IP位址正在積極利用此漏洞,較首次發現時增加了十倍。攻擊流量主要來自美國、德國和荷蘭。更令人擔憂的是,Macnica研究員Sejiyama的掃描結果顯示,在發現的3,490台暴露於網際網路的設備中,僅有少數已完成修補。

漏洞鏈結構

Palo Alto Networks證實,攻擊者正在將CVE-2025-0108與另外兩個漏洞(CVE-2024-9474和CVE-2025-0111)串連使用,以入侵未修補且未受保護的PAN-OS網頁管理介面。其中:
  • CVE-2024-9474是一個權限提升漏洞,允許PAN-OS管理員以root權限執行命令。該漏洞早在2024年11月就被修復,但當時已被確認為零日漏洞。
     
  • CVE-2025-0111則是一個檔案讀取漏洞,允許已認證且能存取管理網頁介面的攻擊者讀取系統中「nobody」用戶可讀取的檔案。
根據Searchlight Cyber Assenote的安全研究員Adam Kues解釋,此漏洞源於PAN-OS的架構設計,其中認證是在代理層執行,但請求會通過具有不同行為的第二層。具體來說,對PAN-OS管理介面的Web請求會經由Nginx、Apache和PHP應用程式三個獨立元件處理,這種架構可能導致標頭偽造和路徑混淆問題。

CISA已要求聯邦機構務必在2025年3月11日前完成修補。Palo Alto Networks建議組織採取以下防護措施:
  • 立即為受影響設備安裝更新修補
  • 確保只有受信任的內部IP位址可以存取管理介面
  • 在管理介面中設定IP白名單,以防止此類漏洞被透過網際網路利用
  • 訪問客戶支援入口網站的Assets區域,檢查需要修補的資產
專家強調,考慮到Palo Alto Networks設備的廣泛使用,以及攻擊者對漏洞的快速利用,用戶應盡快採取行動以降低風險。