谷歌的谷歌概念 Project Zero 和 Mandiant 网络安全团队近日联合发布了针对 Palo Alto Networks PAN-OS OpenConfig 插件中的一个高严重性命令注入漏洞（CVE-2025-0110）的概念验证（PoC）代码。该漏洞经身份验证的发布防火管理员能够通过伪造的 gNMI 请求在防火墙上执行任意命令  ，并提升权限至 root 访问级别 。墙命

这一披露紧随 Palo Alto Networks 在 2025 年 2 月发布的令注补丁，进一步凸显了关键基础设施中防火墙漏洞利用链的入漏日益严峻问题
。

CVE-2025-0110 存在于 PAN-OS OpenConfig 插件中，洞的建站模板代码该插件通过 gNMI 协议实现网络设备配置 。验证攻击者可通过在系统日志检索期间向 XPATH 查询的谷歌概念type参数中注入恶意命令来绕过安全限制。例如 ，发布防火PoC 代码展示了如何在查询中嵌入$(echo system > file1; cat file1)来执行 Bash 命令。墙命

一旦利用成功，令注攻击者将能够重新配置防火墙  、入漏窃取敏感数据 ，洞的代码甚至可以部署持久性后门 ，验证例如之前在 PAN-OS 攻击活动中出现的谷歌概念 UPSTYLE 恶意软件。

尽管 CVE-2025-0110 需要身份验证，但谷歌研究人员强调，当它与本月初已修复的身份验证绕过漏洞 CVE-2025-0108 结合使用时，其危险性将大幅提升
。威胁行为者可通过以下步骤组合利用这两个漏洞：

部署勒索软件或间谍工具，例如在 2024 年 11 月利用 CVE-2024-9474 发动的攻击中所见。

Palo Alto Networks 已确认这一组合攻击向量的活跃利用，免费模板GreyNoise 观察到有 26 个恶意 IP 针对暴露的管理界面发起攻击 。

Palo Alto Networks 已于 2025 年 2 月 12 日发布修复版本的 OpenConfig 插件（≥2.1.2）
，并敦促客户采取以下措施  ：

谷歌的披露遵循其 90 天漏洞披露政策，服务器租用并指出在发布前补丁已可用。然而 ，Shadowserver Foundation 报告称 ，截至 2025 年 2 月 21 日，仍有超过 3500 个暴露在互联网上的 PAN-OS 界面未得到保护。

为应对这一威胁，安全管理团队应采取以下措施 ：

通过上述措施，企业可以有效降低漏洞被利用的风险 ，保护其网络基础设施的安全。