前情回顾·国际漏洞利用态势
安全内参2月17日消息,据美国威胁情报公司GreyNoise报告,影响Palo Alto Networks防火墙的身份验证绕过漏洞(CVE-2025-0108)在公开披露后,短短1天内便遭到攻击者利用。
Palo Alto Networks于2月12日发布了针对CVE-2025-0108的补丁和缓解措施。该漏洞允许未经身份验证的攻击者访问防火墙管理界面并执行特定的PHP脚本。
GreyNoise于2月13日透露,其已开始检测到针对CVE-2025-0108的攻击尝试。截至2月14日上午,该公司已观测到来自5个不同IP地址的攻击活动。
GreyNoise将这些攻击尝试标记为“恶意”,表明这些攻击更可能由威胁行为者发起,而非安全研究人员在评估易受攻击系统的数量。
此前有安全团队公布细节
发现该漏洞的研究团队Assetnote,在Palo Alto发布补丁公告当天就公开了漏洞的技术细节。这一举动可能使威胁行为者更容易将CVE-2025-0108纳入其攻击武器库。
不过Assetnote也指出,CVE-2025-0108需要与另一个漏洞组合使用,才能实现远程代码执行。
其中一个可能的相关漏洞是CVE-2024-9474,该漏洞已被积极利用。威胁行为者可能已经发现了一个类似于CVE-2024-9474的新漏洞,或者他们正在针对数月未更新的系统发动攻击(CVE-2024-9474的补丁于2024年11月发布)。
Assetnote还表示,CVE-2025-0108与CVE-2024-0012类似。CVE-2024-0012是一个已被在野利用的身份验证绕过漏洞,通常与CVE-2024-9474联合使用。威胁行为者可能只是调整了CVE-2024-0012的利用代码,以攻击CVE-2024-0108,而无需依赖安全公司发布的具体信息。
外媒SecurityWeek已联系Assetnote,询问其为何在漏洞披露后立即公开技术细节,同时也联系了Palo Alto Networks,以确认CVE-2024-0108是否已被用于实际攻击。
Palo Alto Networks在其针对CVE-2024-0108发布的公告中仍表示,公司尚未发现该漏洞在野外被利用。尽管该漏洞被评为“高危”,但厂商给予的紧急性评级仅为“中等”。
参考资料:https://www.securityweek.com/hackers-exploit-palo-alto-firewall-vulnerability-day-after-disclosure/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
