Palo Alto Networks 证实其 PAN-OS 防火墙中的零日漏洞正在被利用，并发布了新的入侵指标（IoCs）。

上周，由于 PAN-OS 中存在一个潜在的远程代码执行漏洞（CVSSv4.0 基础分：9.3），Palo Alto Networks 警告客户限制对其下一代防火墙管理界面的访问。该网络安全公司没有关于该漏洞的更多细节，也未发现有人在利用该漏洞。

“Palo Alto Networks 发现 PAN-OS 管理界面存在远程代码执行漏洞。目前，我们尚不清楚该漏洞的具体情况。我们正在积极监控任何利用迹象。我们强烈建议客户确保按照我们推荐的最佳实践部署指南正确配置对管理界面的访问。特别是，我们建议您确保只能从受信任的内部 IP 而不是从互联网访问管理界面。绝大多数防火墙已经遵循了 Palo Alto Networks 和行业最佳实践。”

Palo Alto Networks 建议审查确保设备管理访问安全的最佳实践。

确保 Palo Alto 管理界面安全的准则包括：将其隔离在专用管理 VLAN 上，使用跳转服务器进行访问，将入站 IP 地址限制在经批准的管理设备上，以及只允许安全通信（SSH、HTTPS）和 PING 进行连接测试。

该网络安全公司表示，它没有足够的信息表明存在任何入侵迹象。

现在，该公司证实，其 PAN-OS 防火墙管理界面中的零日漏洞已在野外被积极利用，并发布了入侵指标（IoCs）。

“Palo Alto Networks 发现有威胁活动利用一个未经验证的远程命令执行漏洞，对暴露在互联网上的有限数量的防火墙管理界面进行攻击。我们正在积极调查这一活动。”

“我们强烈建议客户确保按照我们推荐的最佳实践部署指南正确配置对管理界面的访问。特别是，我们建议您立即确保只能从受信任的内部 IP 访问管理界面，而不能从互联网访问。绝大多数防火墙已经遵循了 Palo Alto Networks 和行业最佳实践。”

网络安全公司观察到来自以下 IP 地址的恶意活动

• 136.144.17[.]*
• 173.239.218[.]251
• 216.73.162[.]*

公告指出，这些 IP 地址可能与 VPN 服务有关，因此也与合法用户活动有关。

Palo Alto 指出，该零日漏洞已被利用，在受攻击设备上部署了 Web Shell，允许持续远程访问。CVE 正在等待分配。

“我们发现了一个校验和为 3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668 的 web shell。”

限制对特定 IP 的管理界面访问可大大降低利用风险，但首先需要特权访问。在这种情况下，CVSS 得分为 7.5（高）。

本周，美国网络安全和基础设施安全局（CISA）在其已知漏洞（KEV）目录中增加了以下 Palo Alto Expedition 漏洞：

• CVE-2024-9463 Palo Alto Networks Expedition 操作系统命令注入漏洞
• CVE-2024-9465 Palo Alto Networks Expedition SQL 注入漏洞