谷歌的 Project Zero 和 Mandiant 网络安全团队近日联合发布了针对 Palo Alto Networks PAN-OS OpenConfig 插件中的一个高严重性命令注入漏洞(CVE-2025-0110)的概念验证(PoC)代码。该漏洞经身份验证的管理员能够通过伪造的 gNMI 请求在防火墙上执行任意命令,并提升权限至 root 访问级别。
这一披露紧随 Palo Alto Networks 在 2025 年 2 月发布的补丁,进一步凸显了关键基础设施中防火墙漏洞利用链的日益严峻问题。
漏洞详情与攻击方式
CVE-2025-0110 存在于 PAN-OS OpenConfig 插件中,该插件通过 gNMI 协议实现网络设备配置。攻击者可通过在系统日志检索期间向 XPATH 查询的type参数中注入恶意命令来绕过安全限制。例如,PoC 代码展示了如何在查询中嵌入$(echo system > file1; cat file1)来执行 Bash 命令。
./gnmic -a <IP>:9339 -u admin --password=<PASSWORD> --skip-verify \
--path 'pan-logging:/pan/logging/query/custom[type=$(echo system > file1; cat file1)]'一旦利用成功,攻击者将能够重新配置防火墙、窃取敏感数据,甚至可以部署持久性后门,例如之前在 PAN-OS 攻击活动中出现的 UPSTYLE 恶意软件。
漏洞组合利用的风险
尽管 CVE-2025-0110 需要身份验证,但谷歌研究人员强调,当它与本月初已修复的身份验证绕过漏洞 CVE-2025-0108 结合使用时,其危险性将大幅提升。威胁行为者可通过以下步骤组合利用这两个漏洞:
- 利用 CVE-2025-0108 的 PHP 脚本漏洞绕过登录控制。
- 通过 CVE-2025-0110 提升权限至 root 访问。
部署勒索软件或间谍工具,例如在 2024 年 11 月利用 CVE-2024-9474 发动的攻击中所见。
Palo Alto Networks 已确认这一组合攻击向量的活跃利用,GreyNoise 观察到有 26 个恶意 IP 针对暴露的管理界面发起攻击。
修复建议与安全措施
Palo Alto Networks 已于 2025 年 2 月 12 日发布修复版本的 OpenConfig 插件(≥2.1.2),并敦促客户采取以下措施:
- 立即安装补丁(如 PAN-OS 11.2.4-h4、11.1.6-h1 等)。
- 限制管理界面访问,仅允许受信任的 IP 地址接入。
- 如果未使用 OpenConfig 插件,建议将其禁用。
谷歌的披露遵循其 90 天漏洞披露政策,并指出在发布前补丁已可用。然而,Shadowserver Foundation 报告称,截至 2025 年 2 月 21 日,仍有超过 3500 个暴露在互联网上的 PAN-OS 界面未得到保护。
为应对这一威胁,安全管理团队应采取以下措施:
- 优先打补丁:立即安装 PAN-OS 更新,尤其是对具有公共管理界面的防火墙。
- 网络隔离:实施零信任策略,隔离防火墙管理平面。
- 威胁狩猎:监控异常的 gNMI 请求或意外的 cron 任务创建,这些都是 UPSTYLE 后门活动的典型迹象。
通过上述措施,企业可以有效降低漏洞被利用的风险,保护其网络基础设施的安全。
