⚠️ 漏洞概述
Palo Alto Networks PAN-OS 在 GlobalProtect 门户和网关界面上存在一个拒绝服务(DoS)漏洞。未经身份认证的远程攻击者可通过发送精心构造的请求,导致设备 CPU 资源耗尽或服务中断。
CVSS 评分:8.6(高危)
受影响产品与版本
以下 PAN-OS 版本受此漏洞影响:
| 产品 | 受影响版本 | 修复版本 |
|---|---|---|
| PAN-OS 10.1 | 10.1.x < 10.1.14-h2 | 10.1.14-h2 及以上 |
| PAN-OS 10.2 | 10.2.x < 10.2.11-h1 | 10.2.11-h1 及以上 |
| PAN-OS 11.0 | 11.0.x < 11.0.6-h1 | 11.0.6-h1 及以上 |
| PAN-OS 11.1 | 11.1.x < 11.1.4-h1 | 11.1.4-h1 及以上 |
不受影响的产品:Panorama 物理/虚拟设备、Palo Alto Networks 云端服务(如 Prisma Access)不受此漏洞影响。
技术细节
该漏洞源于 PAN-OS GlobalProtect 组件在处理特定 HTTP 请求时缺乏充分的资源限制。攻击者无需认证即可触发:
- 通过向 GlobalProtect 门户或网关接口发送大量并发连接请求,耗尽设备内存
- 发送特殊构造的请求包,导致 HTTP 服务进程崩溃并自动重启
- 反复触发可实现持续 DoS 状态,需管理员手动干预恢复
🔍 漏洞利用条件
该漏洞可被未经认证的远程攻击者利用,只要攻击者能够访问 GlobalProtect 门户或网关接口(默认端口 443)。如果该接口暴露在互联网,攻击者可在无需任何凭证的情况下直接发起攻击。
风险评估
此漏洞风险较高,原因如下:
- 无需认证:攻击者无需任何账号即可触发,门槛极低
- 利用简单:已有公开的 PoC(概念验证代码),攻击者可快速复现
- 影响直接:可导致 VPN 隧道中断,影响远程办公用户正常接入
- 检测困难:DoS 攻击流量与正常业务流量难以区分,防火墙规则可能放行
处置建议
第一步:排查受影响设备
登录 Palo Alto Networks 设备,查看系统版本:
- Web 界面:Device → About → General
- CLI 命令:
show system info | match version
第二步:确认暴露面
检查 GlobalProtect 端口(443)和门户是否暴露在互联网:
- 检查接口安全区域绑定策略,确认是否允许 untrust → management 的 HTTPS 流量
- 使用
show global-protect global-protect-portal-configuration查看门户配置 - 建议通过 VPN 前置防火墙或 ZTN(零信任)设备限制访问来源
第三步:尽快升级到安全版本
联系 VISBAT 获取升级支持,或通过 Palo Alto Networks 官方渠道下载对应版本的 PAN-OS 升级包。升级前请:
- 完整备份当前配置(
scp export config from running-config.xml to ...) - 在测试环境验证新版本与现有策略兼容性
- 确认 HA(高可用)集群节点依次升级,避免业务中断
第四步:临时缓解措施(无法立即升级时)
- 在边界防火墙上对 GlobalProtect 端口实施严格的源 IP 白名单访问控制,仅允许受信任 IP 段访问
- 如果业务允许,临时关闭 GlobalProtect 互联网暴露面,切换为仅内网访问
- 启用设备 DoS 防护策略,对 GlobalProtect 相关服务配置连接数限制
- 加强监控:设置 CPU/内存告警阈值,异常时及时告警
参考链接
- Palo Alto Networks 官方安全通告:security.paloaltonetworks.com
- CVE 详情:nvd.nist.gov
- PAN-OS 下载中心(需注册登录):updates.paloaltonetworks.com
联系我们
如需协助评估受影响范围、制定升级方案或实施临时缓解措施,欢迎联系 VISBAT 安全专家团队:
- 电话:400-833-4546
- 邮箱:sales@visbat.com