研究人员警告称,威胁行为者正在利用Palo Alto Networks PAN-OS防火墙中最近披露的一个漏洞,该漏洞被追踪为CVE-2025-0108。
Shadowserver基金会的研究人员自2024年2月13日UTC时间凌晨4点以来,在他们的蜜罐中观察到了多次CVE-2025-0108的尝试。专家表示,恶意流量源自19个IP地址,攻击者试图使用最近发布的针对该漏洞的概念验证(PoC)利用代码(除了一些创造性的例外)。
自2024年2月13日UTC时间凌晨4点以来,我们的蜜罐中观察到了多次Palo Alto CVE-2025-0108的尝试,有19个源IP地址尝试使用最近发布的针对该漏洞的PoC(除了一些创造性的例外)补丁信息:https://t.co/ogULH1UgBu pic.twitter.com/CzUMjAFARF— The Shadowserver Foundation (@Shadowserver) 2025年2月14日
网络安全公司GreyNoise也确认,威胁行为者试图利用该漏洞。
“GreyNoise可以确认CVE-2025-0108的活跃利用。”GreyNoise表示。“依赖PAN-OS防火墙的组织应假设未打补丁的设备正在成为目标,并立即采取措施保护它们。”
“Palo Alto Networks PAN-OS软件中的身份验证绕过漏洞,使具有管理Web界面网络访问权限的未认证攻击者能够绕过PAN-OS管理Web界面所需的身份验证,并调用某些PHP脚本。”Palo Alto Networks发布的公告中写道。“虽然调用这些PHP脚本不会导致远程代码执行,但可能会对PAN-OS的完整性和机密性产生负面影响。”
该漏洞存在于PAN-OS管理Web界面中。网络上的未认证攻击者可以利用该漏洞绕过身份验证并调用某些PHP脚本。
公司警告称,如果管理界面可以从互联网或不受信任的网络访问,无论是直接访问还是通过具有管理配置文件的数据平面接口访问,风险会更高。安全供应商建议限制对受信任的内部IP地址的访问,以最小化利用风险。
以下版本修复了该漏洞:
网络安全公司Assetnote发现了该漏洞,并发布了该问题的详细分析。
研究人员证明,攻击者可以利用该漏洞从易受攻击的设备中提取数据,包括防火墙配置。
Assetnote表示,CVE-2025-0108利用了PAN-OS防火墙中URL解码不当的问题,允许攻击者绕过身份验证。问题的根本原因是Nginx和Apache处理编码路径的方式不同,导致目录遍历和未经授权的PHP脚本执行。由于Nginx禁用了某些路径的身份验证,攻击者可以在没有凭据的情况下访问PAN-OS管理界面,从而导致完全的身份验证绕过。
“我们探索了一种可疑(且相当常见)的架构,其中身份验证在代理层强制执行,但请求随后通过具有不同行为的第二层传递。”Assetnote发布的报告中写道。“从根本上说,这种架构会导致诸如标头走私和路径混淆等问题,从而可能引发许多影响严重的漏洞!”
原文始发于微信公众号(黑猫安全):攻击者利用最近披露的Palo Alto Networks PAN-OS防火墙漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论