攻击者利用最近披露的Palo Alto Networks PAN-OS防火墙漏洞

admin 2025年2月17日09:06:19评论26 views字数 1294阅读4分18秒阅读模式
攻击者利用最近披露的Palo Alto Networks PAN-OS防火墙漏洞

研究人员警告称,威胁行为者正在利用Palo Alto Networks PAN-OS防火墙中最近披露的一个漏洞,该漏洞被追踪为CVE-2025-0108。

Shadowserver基金会的研究人员自2024年2月13日UTC时间凌晨4点以来,在他们的蜜罐中观察到了多次CVE-2025-0108的尝试。专家表示,恶意流量源自19个IP地址,攻击者试图使用最近发布的针对该漏洞的概念验证(PoC)利用代码(除了一些创造性的例外)。

自2024年2月13日UTC时间凌晨4点以来,我们的蜜罐中观察到了多次Palo Alto CVE-2025-0108的尝试,有19个源IP地址尝试使用最近发布的针对该漏洞的PoC(除了一些创造性的例外)补丁信息:https://t.co/ogULH1UgBu pic.twitter.com/CzUMjAFARF— The Shadowserver Foundation (@Shadowserver) 2025年2月14日

网络安全公司GreyNoise也确认,威胁行为者试图利用该漏洞。

“GreyNoise可以确认CVE-2025-0108的活跃利用。”GreyNoise表示。“依赖PAN-OS防火墙的组织应假设未打补丁的设备正在成为目标,并立即采取措施保护它们。”

“Palo Alto Networks PAN-OS软件中的身份验证绕过漏洞,使具有管理Web界面网络访问权限的未认证攻击者能够绕过PAN-OS管理Web界面所需的身份验证,并调用某些PHP脚本。”Palo Alto Networks发布的公告中写道。“虽然调用这些PHP脚本不会导致远程代码执行,但可能会对PAN-OS的完整性和机密性产生负面影响。”

该漏洞存在于PAN-OS管理Web界面中。网络上的未认证攻击者可以利用该漏洞绕过身份验证并调用某些PHP脚本。

公司警告称,如果管理界面可以从互联网或不受信任的网络访问,无论是直接访问还是通过具有管理配置文件的数据平面接口访问,风险会更高。安全供应商建议限制对受信任的内部IP地址的访问,以最小化利用风险。

以下版本修复了该漏洞:

攻击者利用最近披露的Palo Alto Networks PAN-OS防火墙漏洞

网络安全公司Assetnote发现了该漏洞,并发布了该问题的详细分析。

研究人员证明,攻击者可以利用该漏洞从易受攻击的设备中提取数据,包括防火墙配置。

Assetnote表示,CVE-2025-0108利用了PAN-OS防火墙中URL解码不当的问题,允许攻击者绕过身份验证。问题的根本原因是Nginx和Apache处理编码路径的方式不同,导致目录遍历和未经授权的PHP脚本执行。由于Nginx禁用了某些路径的身份验证,攻击者可以在没有凭据的情况下访问PAN-OS管理界面,从而导致完全的身份验证绕过。

“我们探索了一种可疑(且相当常见)的架构,其中身份验证在代理层强制执行,但请求随后通过具有不同行为的第二层传递。”Assetnote发布的报告中写道。“从根本上说,这种架构会导致诸如标头走私和路径混淆等问题,从而可能引发许多影响严重的漏洞!”

攻击者利用最近披露的Palo Alto Networks PAN-OS防火墙漏洞

原文始发于微信公众号(黑猫安全):攻击者利用最近披露的Palo Alto Networks PAN-OS防火墙漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月17日09:06:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻击者利用最近披露的Palo Alto Networks PAN-OS防火墙漏洞https://cn-sec.com/archives/3749043.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息