Google 的 Project Zero 和 Mandiant 网络安全团队联合发布了一个概念验证 (PoC) 漏洞,该漏洞针对 Palo Alto Networks 的 PAN-OS OpenConfig 插件中的一个高严重性命令注入漏洞。
该漏洞被跟踪为 CVE-2025-0110,允许经过身份验证的管理员通过纵的 gNMI 请求在防火墙上执行任意命令,从而将权限提升为 root 访问权限。
该披露是在 Palo Alto Networks 2025 年 2 月补丁发布之后发布的,并凸显了人们对关键基础设施中防火墙利用链的日益担忧。
CVE-2025-0110 驻留在 PAN-OS OpenConfig 插件中,该插件有助于通过 gNMI 协议进行网络设备配置。
利用此缺陷的攻击者可以通过在 syslog 检索期间将恶意命令注入 XPATH 查询的参数来绕过安全限制。例如,PoC 演示了嵌入到查询中以执行 bash 命令。
type$(echo system > file1; cat file1)bash./gnmic -a <IP>:9339 -u admin --password=<PASSWORD> --skip-verify \
--path 'pan-logging:/pan/logging/query/custom[type=$(echo system > file1; cat file1)]' 成功利用此漏洞后,攻击者可以重新配置防火墙、泄露敏感数据或部署持久性后门,例如在之前的 PAN-OS 活动中观察到的 UPSTYLE 恶意软件。
利用链风险
虽然 CVE-2025-0110 需要身份验证,但 Google 的研究人员强调了它与 CVE-2025-0108 结合使用时的危险性,CVE-2025-0108 是本月早些时候修补的身份验证绕过漏洞。威胁行为者可以将这些漏洞链接到:
- 通过 CVE-2025-0108 的 PHP 脚本利用绕过登录控制。
- 使用 CVE-2025-0110 提升权限以获得 root 访问权限。
- 部署勒索软件或间谍工具,如 2024 年 11 月利用 CVE-2024-9474 的攻击所示。
Palo Alto Networks 证实了这种链式攻击媒介的积极利用,GreyNoise 观察到 26 个恶意 IP 以暴露的管理界面为目标。
Palo Alto Networks 于 2025 年 2 月 12 日发布了修复的 OpenConfig 插件版本 (≥2.1.2),敦促客户:
- 立即应用补丁(PAN-OS 11.2.4-h4、11.1.6-h1 等)。
- 限制对可信 IP 的管理界面访问。
- 如果未使用,请禁用 OpenConfig。
Google 的披露符合其 90 天漏洞披露政策,并指出补丁在发布之前就已经可用。但是,Shadowserver Foundation 报告称,截至 2 月 21 日,超过 3,500 个暴露在互联网上的 PAN-OS 接口仍不安全。
- 补丁优先级:立即安装 PAN-OS 更新,特别是对于具有公共管理界面的防火墙。
- 网络分段:实施零信任策略以隔离防火墙管理平面。
- 威胁搜寻:监控异常的 gNMI 请求或意外的 cron 作业创建,以及 UPSTYLE 后门活动的指标。
信息來源:https://cybersecuritynews.com/google-released-poc-exploit-for-palo-alto-firewall/
Acunetix Acunetix Premium AI appscan AppScan Standard(标准版) HCL AppScan WebTest 云安全 五角大楼 人工智能 人类心理学 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 安全漏洞 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 暗网 木马病毒 欺诈管理和网络犯罪 民族国家攻击 漏洞和威胁 特朗普政府 特朗普的 2026 财年预算 社会工程学 移动安全 端点安全 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 脆弱性 间谍软件