Palo Alto PAN-OS漏洞严重性升级,已在野外被利用
摘要
本月早些时候,我们发布了一份关于CVE-2025-0108的公告,该漏洞允许未经身份验证的攻击者访问Palo Alto Networks PAN-OS的Web管理用户界面并调用某些脚本。除了上述漏洞外,还披露了其他九个漏洞,这些漏洞的严重性较低,因为它们对潜在攻击者的效用较小。自最初撰写以来,CVE-2025-0108的概念验证利用代码已公开发布并在野外使用。此外,PAN披露中包含的九个较低严重性漏洞之一CVE-2025-0111已从中等严重性/中等紧急程度升级为高严重性/最高紧急程度。它允许具有Web管理UI访问权限的经过身份验证的攻击者读取PAN-OS文件系统中nobody用户可读的文件,并且Palo Alto已警告CVE-2025-0111正与CVE-2025-0108和CVE-2024-9474链式利用:具体目的尚不清楚,但之前涉及CVE-2024-9474和类似CVE-2025-0108的漏洞的攻击导致防火墙配置提取和在受损设备上部署恶意软件。CISA已将CVE-2025-0111添加到其已知利用漏洞(KEV)目录中。
受影响系统和/或应用
| 版本 | 受影响 | 未受影响 |
|---|---|---|
| Cloud NGFW | 无 | 所有 |
| PAN-OS 11.2 | < 11.2.4-h4 < 11.2.5 | >= 11.2.4-h4 >= 11.2.5 |
| PAN-OS 11.1 | < 11.1.2-h18 < 11.1.4-h13 < 11.1.6-h1 | >= 11.1.2-h18 >= 11.1.4-h13 >= 11.1.6-h1 |
| PAN-OS 10.2 | < 10.2.7-h24 < 10.2.8-h21 < 10.2.9-h21 < 10.2.10-h14 < 10.2.11-h12 < 10.2.12-h6 < 10.2.13-h3 | >= 10.2.7-h24 >= 10.2.8-h21 >= 10.2.9-h21 >= 10.2.10-h14 >= 10.2.11-h12 >= 10.2.12-h6 >= 10.2.13-h3 |
| PAN-OS 10.1 | < 10.1.14-h9 | >= 10.1.14-h9 |
| Prisma Access | 无 | 所有 |
缓解/解决方案
与CVE-2025-0108一样,Palo Alto建议限制从外部IP访问管理UI,这大大降低了利用的整体风险,以及修补到下面列出的PAN-OS版本。此外,拥有威胁预防订阅的客户可以通过启用威胁ID 510000和510001来阻止此漏洞的攻击。
| 版本 | 小版本 | 建议解决方案 |
|---|---|---|
| PAN-OS 10.1 | 10.1.0 到 10.1.14 | 升级到 10.1.14-h9 或更高版本 |
| PAN-OS 10.2 | 10.2.0 到 10.2.13 | 升级到 10.2.13-h3 或更高版本 |
| 10.2.7 | 升级到 10.2.7-h24 或 10.2.13-h3 或更高版本 | |
| 10.2.8 | 升级到 10.2.8-h21 或 10.2.13-h3 或更高版本 | |
| 10.2.9 | 升级到 10.2.9-h21 或 10.2.13-h3 或更高版本 | |
| 10.2.10 | 升级到 10.2.10-h14 或 10.2.13-h3 或更高版本 | |
| 10.2.11 | 升级到 10.2.11-h12 或 10.2.13-h3 或更高版本 | |
| 10.2.12 | 升级到 10.2.12-h6 或 10.2.13-h3 或更高版本 | |
| PAN-OS 11.0 (EoL) | 升级到支持的固定版本 | |
| PAN-OS 11.1 | 11.1.0 到 11.1.6 | 升级到 11.1.6-h1 或更高版本 |
| 11.1.2 | 升级到 11.1.2-h18 或 11.1.6-h1 或更高版本 | |
| 11.1.4 | 升级到 11.1.4-h13 或 11.1.6-h1 或更高版本 | |
| PAN-OS 11.2 | 11.2.0 到 11.2.4 | 升级到 11.2.5 或更高版本 |
| 11.2.4 | 升级到 11.2.4-h4 或 11.2.5 或更高版本 |
此外,Palo Alto通过其支持门户提供面向互联网设备的检测:
要查找需要修复操作的任何资产,请访问客户支持门户的资产部分,网址为https://support.paloaltonetworks.com(产品 → 资产 → 所有资产 → 需要修复)。 查看我们在扫描中发现的具有面向互联网管理接口的设备列表,这些设备我们标记为“PAN-SA-2024-0015”并带有最后看到的时间戳(UTC)。如果您没有看到任何此类设备列出,那么我们的扫描在过去三天内没有发现您账户上有任何具有面向互联网管理接口的设备。
网络融合中心正在做什么
CFC将继续监控情况,并在需要时发送公告更新。订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后,如果扫描范围内发现关键漏洞,将收到相关结果。
Qualys ID: 732236 Tenable ID Tenable ID: https://www.tenable.com/cve/CVE-2025-0111