谷歌发布Palo Alto防火墙命令注入漏洞的概念验证代码

谷歌的 Project Zero 和 Mandiant 网络安全团队近日联合发布了针对 Palo Alto Networks PAN-OS OpenConfig 插件中的一个高严重性命令注入漏洞（CVE-2025-0110）的概念验证（PoC）代码。该漏洞经身份验证的管理员能够通过伪造的 gNMI 请求在防火墙上执行任意命令，并提升权限至 root 访问级别。

这一披露紧随 Palo Alto Networks 在 2025 年 2 月发布的补丁，进一步凸显了关键基础设施中防火墙漏洞利用链的日益严峻问题。

CVE-2025-0110 存在于 PAN-OS OpenConfig 插件中，该插件通过 gNMI 协议实现网络设备配置。攻击者可通过在系统日志检索期间向 XPATH 查询的type参数中注入恶意命令来绕过安全限制。例如，PoC 代码展示了如何在查询中嵌入$(echo system > file1; cat file1)来执行 Bash 命令。

./gnmic -a <IP>:9339 -u admin --password=<PASSWORD> --skip-verify --path 'pan-logging:/pan/logging/query/custom[type=$(echo system > file1; cat file1)]'

一旦利用成功，攻击者将能够重新配置防火墙、窃取敏感数据，甚至可以部署持久性后门，例如之前在 PAN-OS 攻击活动中出现的 UPSTYLE 恶意软件。




漏洞组合利用的风险




尽管 CVE-2025-0110 需要身份验证，但谷歌研究人员强调，当它与本月初已修复的身份验证绕过漏洞 CVE-2025-0108 结合使用时，其危险性将大幅提升。威胁行为者可通过以下步骤组合利用这两个漏洞：


利用 CVE-2025-0108 的 PHP 脚本漏洞绕过登录控制。


通过 CVE-2025-0110 提升权限至 root 访问。


部署勒索软件或间谍工具，例如在 2024 年 11 月利用 CVE-2024-9474 发动的攻击中所见。


Palo Alto Networks 已确认这一组合攻击向量的活跃利用，GreyNoise 观察到有 26 个恶意 IP 针对暴露的管理界面发起攻击。




修复建议与安全措施




Palo Alto Networks 已于 2025 年 2 月 12 日发布修复版本的 OpenConfig 插件（≥2.1.2），并敦促客户采取以下措施：


立即安装补丁（如 PAN-OS 11.2.4-h4、11.1.6-h1 等）。


限制管理界面访问，仅允许受信任的 IP 地址接入。


如果未使用 OpenConfig 插件，建议将其禁用。


谷歌的披露遵循其 90 天漏洞披露政策，并指出在发布前补丁已可用。然而，Shadowserver Foundation 报告称，截至 2025 年 2 月 21 日，仍有超过 3500 个暴露在互联网上的 PAN-OS 界面未得到保护。
为应对这一威胁，安全管理团队应采取以下措施：


优先打补丁：立即安装 PAN-OS 更新，尤其是对具有公共管理界面的防火墙。


网络隔离：实施零信任策略，隔离防火墙管理平面。


威胁狩猎：监控异常的 gNMI 请求或意外的 cron 任务创建，这些都是 UPSTYLE 后门活动的典型迹象。


通过上述措施，企业可以有效降低漏洞被利用的风险，保护其网络基础设施的安全。
【


原文始发于微信公众号（FreeBuf）：谷歌发布Palo Alto防火墙命令注入漏洞的概念验证代码