谷歌发布Palo Alto防火墙命令注入漏洞的概念验证代码

谷歌的谷歌概念 Project Zero 和 Mandiant 网络安全团队近日联合发布了针对 Palo Alto Networks PAN-OS OpenConfig 插件中的一个高严重性命令注入漏洞（CVE-2025-0110）的概念验证（PoC）代码。该漏洞经身份验证的发布防火管理员能够通过伪造的 gNMI 请求在防火墙上执行任意命令，并提升权限至 root 访问级别 。墙命

这一披露紧随 Palo Alto Networks 在 2025 年 2 月发布的令注补丁 ，进一步凸显了关键基础设施中防火墙漏洞利用链的入漏日益严峻问题。

漏洞详情与攻击方式

CVE-2025-0110 存在于 PAN-OS OpenConfig 插件中，洞的模板下载代码该插件通过 gNMI 协议实现网络设备配置。验证攻击者可通过在系统日志检索期间向 XPATH 查询的谷歌概念type参数中注入恶意命令来绕过安全限制。例如 ，发布防火PoC 代码展示了如何在查询中嵌入$(echo system > file1; cat file1)来执行 Bash 命令。墙命

复制./gnmic -a <IP>:9339 -u admin --password=<PASSWORD> --skip-verify \ --path pan-logging:/pan/logging/query/custom[type=$(echo system > file1; cat file1)]1.2.

一旦利用成功
，令注攻击者将能够重新配置防火墙
、入漏窃取敏感数据 ，洞的代码甚至可以部署持久性后门，验证例如之前在 PAN-OS 攻击活动中出现的谷歌概念 UPSTYLE 恶意软件。

漏洞组合利用的服务器租用风险

尽管 CVE-2025-0110 需要身份验证，但谷歌研究人员强调，当它与本月初已修复的身份验证绕过漏洞 CVE-2025-0108 结合使用时
，其危险性将大幅提升。威胁行为者可通过以下步骤组合利用这两个漏洞 ：

利用 CVE-2025-0108 的 PHP 脚本漏洞绕过登录控制。通过 CVE-2025-0110 提升权限至 root 访问 。

部署勒索软件或间谍工具，例如在 2024 年 11 月利用 CVE-2024-9474 发动的攻击中所见 。

Palo Alto Networks 已确认这一组合攻击向量的活跃利用 ，高防服务器GreyNoise 观察到有 26 个恶意 IP 针对暴露的管理界面发起攻击。

修复建议与安全措施

Palo Alto Networks 已于 2025 年 2 月 12 日发布修复版本的 OpenConfig 插件（≥2.1.2）
，并敦促客户采取以下措施 ：

立即安装补丁（如 PAN-OS 11.2.4-h4、11.1.6-h1 等）。限制管理界面访问 ，仅允许受信任的 IP 地址接入。如果未使用 OpenConfig 插件，建议将其禁用。

谷歌的披露遵循其 90 天漏洞披露政策，云计算并指出在发布前补丁已可用。然而，Shadowserver Foundation 报告称 ，截至 2025 年 2 月 21 日，仍有超过 3500 个暴露在互联网上的 PAN-OS 界面未得到保护。

为应对这一威胁，安全管理团队应采取以下措施
：

优先打补丁：立即安装 PAN-OS 更新 ，尤其是对具有公共管理界面的防火墙。网络隔离
：实施零信任策略 ，隔离防火墙管理平面。源码下载威胁狩猎：监控异常的 gNMI 请求或意外的 cron 任务创建，这些都是 UPSTYLE 后门活动的典型迹象。

通过上述措施，企业可以有效降低漏洞被利用的风险，保护其网络基础设施的安全。