Palo Alto Networks 呼吁管理员封锁开放的互联网访问防火墙管理界面

关键要点

• 发现PAN-OS中存在零日漏洞，管理员需立即更新并封锁防火墙的管理界面。
• 漏洞已被主动利用，专家提醒必须加强防护措施。
• PARA 公司建议只允许受信内部 IP 地址访问管理接口。
• 有效的验证方法包括使用 VPN 或限制访问的 IP 地址。


根据本周的消息，Palo AltoNetworks（PAN）防火墙的管理员应确保设备已完全修补，并禁止从开放互联网访问管理界面。这一通知的背景是本周发现的PAN- OS操作系统中的零日登录身份验证绕过漏洞。

该漏洞（CVE-2025-0108）由Assetnote的研究人员发现，根据Greynoise的说法，漏洞已经被利用。

对于此事，Palo Alto Networks表示，管理员可以通过仅限受信内部 IP地址访问管理网页界面来「大大降低」被利用的风险，这是根据其建议的最佳实践部署指南所述的措施。“这将确保攻击仅能在获取通过这些指定 IP地址的特权访问后成为成功的攻击，”公司指出。

安全专家经常提醒网络管理员和信息安全专业人员有关将设备管理接口暴露给开放互联网的危险。一种保护的方法是通过虚拟专用网络（VPN）访问这些接口，而另一种则是仅限内部 IP 地址访问。

查找易受攻击的设备

为了找到需要整治的资产，PAN表示管理员应访问其的资产部分，查看需修复的部分。这里将显示一个列表，列出具有面向互联网的管理接口并标记为‘PAN- SA-2024-0015’的设备。如果没有列出设备，则表明没有装置的管理接口面向互联网。

需要注意的是，如果在GlobalProtect门户或网关的接口上配置了管理档案，则PAN设备会通过管理网页接口暴露，该接口通常可在端口4443访问。

该问题不影响公司的Cloud NGFW或Prisma Access软件。

据，利用始于本周的星期二。Assetnote则在星期三有关这一漏洞的内容。Palo AltoNetworks在同一天发布了其建议。

「奇怪的路径处理行为」

Assetnote表示，该漏洞是一个「奇怪的路径处理行为」，发生在PAN-OS中的Apache HTTP服务器部分，该服务器与Nginx一起处理访问PAN- OS管理界面的网络请求。网络请求首先到达Nginx反向代理，如果该请求的端口指示其是面向管理接口的，PAN-OS会设置几个标头；其中最重要的是X-panAuthCheck。然后，Nginx配置会经过几个位置检查，并选择性地将身份验证检查设置为关闭。请求接著被反向代理到Apache，Apache将重新归一化和重新处理请求，并在某些条件下应用重写规则。如果请求的文件是PHP文件，Apache将通过mod_phpFCGI进行请求，这会根