谷歌的 Project Zero 和 Mandiant 網絡安全團隊近日聯合發布了針對 Palo Alto Networks PAN-OS OpenConfig 插件中的一個高嚴重性命令注入漏洞（CVE-2025-0110）的概念驗證（PoC）代碼。該漏洞經身份驗證的管理員能夠通過偽造的 gNMI 請求在防火墻上執行任意命令，并提升權限至 root 訪問級別。

這一披露緊隨 Palo Alto Networks 在 2025 年 2 月發布的補丁，進一步凸顯了關鍵基礎設施中防火墻漏洞利用鏈的日益嚴峻問題。

漏洞詳情與攻擊方式

CVE-2025-0110 存在于 PAN-OS OpenConfig 插件中，該插件通過 gNMI 協議實現網絡設備配置。攻擊者可通過在系統日志檢索期間向 XPATH 查詢的type參數中注入惡意命令來繞過安全限制。例如，PoC 代碼展示了如何在查詢中嵌入$(echo system > file1; cat file1)來執行 Bash 命令。

./gnmic -a <IP>:9339 -u admin --password=<PASSWORD> --skip-verify \
--path 'pan-logging:/pan/logging/query/custom[type=$(echo system > file1; cat file1)]'

一旦利用成功，攻擊者將能夠重新配置防火墻、竊取敏感數據，甚至可以部署持久性后門，例如之前在 PAN-OS 攻擊活動中出現的 UPSTYLE 惡意軟件。

漏洞組合利用的風險

盡管 CVE-2025-0110 需要身份驗證，但谷歌研究人員強調，當它與本月初已修復的身份驗證繞過漏洞 CVE-2025-0108 結合使用時，其危險性將大幅提升。威脅行為者可通過以下步驟組合利用這兩個漏洞：

• 利用 CVE-2025-0108 的 PHP 腳本漏洞繞過登錄控制。
• 通過 CVE-2025-0110 提升權限至 root 訪問。

部署勒索軟件或間諜工具，例如在 2024 年 11 月利用 CVE-2024-9474 發動的攻擊中所見。

Palo Alto Networks 已確認這一組合攻擊向量的活躍利用，GreyNoise 觀察到有 26 個惡意 IP 針對暴露的管理界面發起攻擊。

修復建議與安全措施

Palo Alto Networks 已于 2025 年 2 月 12 日發布修復版本的 OpenConfig 插件（≥2.1.2），并敦促客戶采取以下措施：

• 立即安裝補丁（如 PAN-OS 11.2.4-h4、11.1.6-h1 等）。
• 限制管理界面訪問，僅允許受信任的 IP 地址接入。
• 如果未使用 OpenConfig 插件，建議將其禁用。

谷歌的披露遵循其 90 天漏洞披露政策，并指出在發布前補丁已可用。然而，Shadowserver Foundation 報告稱，截至 2025 年 2 月 21 日，仍有超過 3500 個暴露在互聯網上的 PAN-OS 界面未得到保護。

為應對這一威脅，安全管理團隊應采取以下措施：

• 優先打補丁：立即安裝 PAN-OS 更新，尤其是對具有公共管理界面的防火墻。
• 網絡隔離：實施零信任策略，隔離防火墻管理平面。
• 威脅狩獵：監控異常的 gNMI 請求或意外的 cron 任務創建，這些都是 UPSTYLE 后門活動的典型跡象。

通過上述措施，企業可以有效降低漏洞被利用的風險，保護其網絡基礎設施的安全。