近期，美國網絡安全與基礎設施安全局（CISA）發布了一則緊急警報，矛頭直指帕洛阿爾托網絡公司（Palo Alto Networks）防火墻設備所搭載的操作系統 PAN-OS。該系統現正遭受黑客攻擊，其存在的一個高嚴重性身份驗證繞過漏洞（CVE-2025-0108）已被黑客們積極利用。

據監測，全球范圍內已有超過 25 個惡意 IP 地址對未安裝補丁的系統發動攻擊。聯邦當局聯合網絡安全專家發出警告：攻擊者很可能將這一漏洞與其他漏洞串聯起來，從而對關鍵網絡基礎設施造成嚴重破壞。

CVE-2025-0108 的通用漏洞評分系統 3.1 版評分為 7.8，這意味著，未經身份驗證但能夠訪問 PAN-OS 管理 Web 界面的攻擊者，可以借此繞過身份驗證控制，進而執行特定的 PHP 腳本。雖說這一漏洞本身不會直接導致遠程代碼執行，但攻擊者通過未經授權訪問敏感功能，已然對系統的完整性和保密性構成了嚴重威脅。

帕洛阿爾托網絡公司確認，若將 CVE-2025-0108 與 CVE-2024-9474（一個在 2024 年 11 月已修復的權限提升漏洞）結合利用，黑客便能完全控制設備。

受此次漏洞影響的版本包括 PAN-OS 10.1（10.1.14-h9 之前的版本）、10.2（10.2.13-h3 之前的版本）、11.1（11.1.6-h1 之前的版本）以及 11.2（11.2.4-h4 之前的版本）。不過，云下一代防火墻（Cloud NGFW）和 Prisma Access 部署目前不受影響。

攻擊趨勢與溯源

GreyNoise 的監測數據顯示，攻擊態勢在短時間內急劇惡化。從 2 月 13 日僅 2 個惡意 IP 地址發起攻擊，到 2 月 18 日，這一數字已激增至 25 個。進一步調查發現，這些攻擊流量主要源自美國、德國和荷蘭。

攻擊者利用的是公開的概念驗證（PoC）漏洞利用程序，而這些程序的技術細節，大多來源于 Assetnote 研究人員的披露。他們在調查早期 PAN-OS 漏洞時，首次發現了 CVE-2025-0108 這個漏洞。

2 月 19 日，帕洛阿爾托網絡公司更新了安全公告，明確指出針對未安裝補丁的防火墻，尤其是面向互聯網的管理界面的攻擊數量正在 “不斷增加”。

對此，帕洛阿爾托網絡公司發言人史蒂文?泰（Steven Thai）強調：“我們強烈敦促所有客戶立即應用更新，并嚴格限制管理界面的訪問權限。”

應對措施與建議

CISA 和帕洛阿爾托網絡公司共同給出了以下應對建議：

• 立即應用補丁：盡快將 PAN-OS 升級到 10.1.14-h9、10.2.13-h3、11.1.6-h1 或 11.2.4-h4 版本，這些版本已修復 CVE-2025-0108 漏洞。
• 限制管理界面訪問：只允許受信任的內部 IP 地址進行連接，堅決避免管理界面暴露在公共互聯網中。
• 禁用未使用的服務：若不需要 OpenConfig 插件，應及時將其停用，以防它成為額外的攻擊入口。
• 監測攻擊行為：借助 GreyNoise 等威脅情報平臺，實時跟蹤與 CVE-2025-0108 相關的惡意 IP 地址。

Assetnote 的舒巴姆?沙阿（Shubham Shah）指出，CVE-2025-0108 的真正威脅在于，它為攻擊者提供了初始訪問途徑。他強調：“攻擊者會將這個漏洞與二次漏洞利用程序結合，從而實現命令執行。” 這種攻擊策略并非首次出現，與之前利用 CVE-2024-0012 和 CVE-2024-9474 針對 PAN-OS 身份驗證機制的攻擊活動如出一轍。

對于依賴帕洛阿爾托防火墻的聯邦機構和企業而言，當務之急是優先部署補丁，因為未受保護的設備隨時都有被攻擊的風險。CISA 發布這一警報，與其 “設計安全” 倡議高度契合，旨在敦促供應商和客戶從源頭上消除關鍵基礎設施中的默認暴露風險。

隨著攻擊活動的持續升級，各組織務必爭分奪秒，盡快緩解 CVE-2025-0108 帶來的安全隱患。在帕洛阿爾托網絡公司全力遏制威脅的同時，管理員必須嚴格落實訪問控制措施，并假定未安裝補丁的設備已被入侵，提前做好應對準備。

參考鏈接：https://cybersecuritynews.com/pan-os-vulnerability-actively-exploited/