高危認證繞過漏洞被利用

Palo Alto Networks PAN-OS軟件中一個上周剛修補的高嚴重性認證繞過漏洞，目前正被威脅攻擊者積極利用，以獲得受影響防火墻系統的root級別訪問權限。

該漏洞被追蹤為CVE-2025-0108，允許未經認證的攻擊者通過網絡訪問PAN-OS管理網頁界面，繞過認證要求。漏洞的嚴重性評分為CVSS 8.8（滿分10分），但僅當允許從互聯網上的外部IP地址訪問管理網頁界面時成立。如果將該訪問限制在指定的IP地址，評分則會顯著降至5.9，成為一種有效的變通措施。

Palo Alto在安全公告中表示，此繞過漏洞使攻擊者能夠調用某些PHP腳本，雖然這些腳本可能無法實現遠程代碼執行，但會“對PAN-OS的完整性和保密性產生負面影響”。

結合舊漏洞實現root權限提升

攻擊行為涉及將CVE-2025-0108與兩個舊漏洞結合在一起，其中一個漏洞之前已被積極利用，允許在受影響的系統上進行權限提升和認證文件讀取。

根據公告更新，“Palo Alto Networks已觀察到攻擊者試圖在未修補且未受保護的PAN-OS網頁管理界面上，將CVE-2025-0108與CVE-2024-9474和CVE-2025-0111結合在一起進行利用。”

CVE-2025-0108的發現源于對CVE-2024-9474的補丁后分析。CVE-2024-9474是一個中等嚴重性漏洞（CVSS 6.9/10），去年11月已被積極利用。當時，攻擊者將CVE-2024-9474與另一個影響PAN-OS的關鍵認證繞過漏洞（CVE-2024-0012）結合在一起，從而允許在受感染的系統上遠程執行代碼。

現在，威脅攻擊者將CVE-2025-0108和CVE-2024-9474與一個高嚴重性漏洞（CVE-2025-0111）結合在一起，用于未經授權的root級別訪問，可能允許提取敏感配置數據和用戶憑證。

建議立即修補系統

所有這三個漏洞均影響PAN-OS 10.1、10.2、11.1和11.2版本，且已分別發布修補程序。Palo Alto Networks確認其Cloud NGFW和Prisma Access服務未受影響。

作為一種變通方法，建議管理員僅允許受信任的內部IP地址訪問管理網頁界面。即便如此，未修補的系統仍可能面臨風險，只是風險有所降低。此外，公告補充道，擁有威脅預防訂閱的客戶可以通過啟用威脅ID 510000和510001來阻止試圖利用CVE-2025-0108和CVE-2025-0111的攻擊嘗試。