威胁预警！Palo Alto Networks防火墙操作系统PAN-OS存在远程代码执行漏洞

Palo Alto Networks PAN-OS是美国Palo AltoNetworks公司为其下一代防火墙设备开发的一套操作系统。上周，Palo AltoNetworks公司发布了PAN-OS安全漏洞公告，修复了PAN-OS多个漏洞，通过组合利用这些不相关的漏洞，攻击者可以通过设备的管理接口在最高特权用户的上下文中远程执行代码。

该漏洞（CVE-2017-15944）的综合评级为“高危”，它是一个影响管理界面的漏洞组合。据悉，该漏洞影响的版本如下：　　

PAN-OS 6.1.18及更早版本；　
PAN-OS 7.0.18及更早版本；　
PAN-OS 7.1.13及更早版本；　　
PAN-OS 8.0.5及更早版本；

目前，厂商已经发布了安全更新来修复该漏洞，请及时更新到PAN-OS6.1.19、PAN-OS 7.0.19以及PAN-OS 7.1.14和PAN-OS 8.0.6 等版本。详情请关注厂商主页：http://www.paloaltonetworks.com/　

此外，Palo Alto Network还发布了漏洞签名来阻止利用该漏洞的攻击行为。

据悉，这组漏洞是安全研究人员Philip Pettersson于今年7月率先发现的，并随后在SecList上发布了一个安全公告。Pettersson当时共发现了3个安全漏洞——包括一个部分认证旁路漏洞、一个任意目录创建漏洞以及一个命令注入漏洞，这些不相关的漏洞可以组合在一起，允许未经身份验证的攻击者通过易受攻击的Web界面以root权限执行任意代码。

针对该问题，Palo Alto Network在其发布的安全公告中写道，

这是一份关于CVE-2017-15944的安全漏洞公告，该漏洞是Palo Alto Networks防火墙中存在的远程根代码执行漏洞。攻击者可以组合利用三个独立的漏洞，通过Web管理界面以root用户身份远程执行命令，而无需进行身份验证。PAN-OS 6.1.18及更早版本，PAN-OS 7.0.18及更早版本，PAN-OS 7.1.13及更早版本，PAN -OS 8.0.5及更早的版本均受此漏洞影响。

Palo Alto Networks通过安全公告将该漏洞信息通知了用户，并建议用户对管理接口进行隔离，无论是通过网络分割或是在PAN-OS中使用IP访问控制列表限制功能都应只允许安全管理员访问，并严格限制其他用户角色访问。

另外，需要特别提醒的是，针对PAN-OS的安全更新程序还同时解决了CVE-2017-15940漏洞问题，该漏洞是网络接口数据包捕获管理组件中存在的一个高危漏洞，攻击者可以利用此漏洞执行任意命令。

使用Palo Alto Networks防火墙操作系统PAN-OS相关系列的用户，还请尽快前往Palo Alto Networks主页获取更新程序，避免留给攻击者可乘之机！