Palo Alto Networks修補防火牆作業系統身分驗證繞過漏洞

2月13日資安業者Palo Alto Networks發布資安公告，公布存在於網頁管理介面的高風險身分驗證繞過漏洞CVE-2025-0108，未經授權的攻擊者能藉由防火牆作業系統PAN-OS的網頁管理介面，並搭配特定的PHP指令碼，繞過部分驗證流程，影響執行10.1至11.2版PAN-OS的防火牆，CVSS風險為7.8。值得留意的是，通報此事的研究人員指出，已出現這個零時差漏洞被利用的跡象。

對此，該公司發布11.2.4-h4、11.1.6-h1、10.2.13-h3、10.1.14-h9版更新修補，雲端版防火牆Cloud NGFW、安全服務邊緣系統Prisma Access不受影響。

關於這項漏洞可能造成的危險，Palo Alto Networks指出，前述用來觸發漏洞的PHP指令碼無法讓攻擊者遠端執行任意程式碼（RCE），但會顯著影響防火牆作業系統的完整性及機密性。對此，該公司呼籲用戶遵循最佳實作部署的指引，將網頁管理介面的存取管道，限縮為只能透過受到信任的內部IP位址存取，漏洞的危險程度可因此降為5.1分。

值得留意的是，雖然Palo Alto Networks強調他們並未察覺漏洞遭到利用的跡象，但通報此事的Searchlight Cyber資安研究員Adam Kues表示，他們偵測這項弱點已被用於實際攻擊行動，發生的原因與Nginx及Apache元件的路徑混淆有關，由於兩者之間處理傳入的請求存在差異，而有機會造成路徑穿越的現象。

在這次PAN-OS更新當中，Palo Alto Networks也一併修補其他3項漏洞CVE-2025-0109、CVE-2025-0110、CVE-2025-0111，其中的CVE-2025-0110為高風險層級的命令注入漏洞，出現於外掛程式OpenConfig；其餘兩個漏洞為中度風險層級，皆出現在網頁管理介面，CVE-2025-0109為未經授權的檔案刪除漏洞；CVE-2025-0111為通過身分驗證的檔案讀取弱點。