最近披露的一个中等严重程度的漏洞与较旧且更为严重的漏洞相结合，使得攻击者能够获取PAN防火墙系统的root级别访问权限。上周已修复的Palo Alto Networks的PAN-OS软件中的一个高严重性身份验证绕过漏洞，目前正被威胁行为者积极利用，以获取受影响防火墙系统的root级别访问权限。

　　该漏洞被追踪为CVE-2025-0108，允许未经身份验证的攻击者通过网络访问PAN-OS管理Web界面，从而绕过身份验证要求。

　　Palo Alto在一份安全公告中表示，该漏洞在CVSS（通用漏洞评分系统）中获得了8.8（满分10分）的严重度评分，但这一评分仅适用于允许从互联网上的外部IP地址访问管理Web界面的情况。当此访问权限仅限于允许的IP地址时，评分显著降低至5.9，成为一个有效的规避方法。

　　绕过身份验证后，攻击者可以调用某些PHP脚本，这些脚本虽然不能直接实现远程代码执行，但可能会“对PAN-OS的完整性和保密性造成负面影响”。

　　结合旧漏洞实现root级别攻击

　　该利用过程涉及将CVE-2025-0108与两个旧漏洞相结合，其中一个漏洞之前已被积极利用，允许在受影响系统上提升权限和读取经过身份验证的文件。

　　根据公告中的更新，“Palo Alto Networks已观察到在未打补丁且未受保护的PAN-OS Web管理接口上，利用CVE-2025-0108与CVE-2024-9474和CVE-2025-0111相结合进行攻击的行为”。

　　CVE-2025-0108的发现源于对CVE-2024-9474（一个于11月被积极利用的中等严重程度漏洞，CVSS评分为6.9/10）的补丁后分析。当时，攻击者将CVE-2024-9474与另一个影响PAN-OS的关键身份验证绕过漏洞（CVE-2024-0012）相结合，共同允许在受攻击的系统上远程执行代码。

　　现在，威胁行为者正在将CVE-2025-0108和CVE-2024-9474与高严重性漏洞（CVE-2025-0111）相结合，以获取对易受攻击系统的未经授权的root级别访问权限，这可能允许提取敏感的配置数据和用户凭证。

　　建议立即打补丁

　　这三个漏洞均影响PAN-OS版本10.1、10.2、11.1和11.2，并且已分别收到补丁。Palo Alto Networks确认，其Cloud NGFW和Prisma Access服务未受影响。作为规避方法，建议管理员将管理Web界面的访问权限限制为仅信任的内部IP地址。即便如此，未打补丁的系统仍可能面临降低的风险。此外，拥有威胁防护订阅的客户可以通过启用威胁ID 510000和510001来阻止试图利用CVE-2025-0108和CVE-2025-0111的攻击尝试，公告补充道。