PAN-OS: Panorama 身份验证绕过漏洞

该漏洞的潜在影响非常严重。攻击者一旦成功利用此漏洞，将能够完全控制受管理防火墙，包括修改配置、窃取敏感数据、甚至发起进一步的网络攻击。攻击者可能利用此漏洞进行横向移动，攻击整个网络。由于 Panorama 通常用于集中管理多个防火墙，因此该漏洞的潜在影响范围非常广，可能影响整个组织的网络安全。与类似的安全事件相比，该漏洞的危害性不容小觑，可能导致严重的业务中断和数据泄露。

Organizations heavily reliant on Palo Alto Networks firewalls and Panorama for centralized management are particularly at risk. Environments with legacy PAN-OS versions (8.0 and earlier) and those lacking robust network segmentation are also highly vulnerable. Shared hosting environments utilizing Palo Alto firewalls should be especially vigilant, as they may be affected by vulnerabilities in the underlying infrastructure.

• paloalto / firewall:

Get-PanEvent | Where-Object {$_.type -eq "authentication" -and $_.severity -eq "critical"}

• paloalto / firewall:

Get-PanDevice | Where-Object {$_.version -lt "9.0.6"}

• paloalto / firewall:

Get-PanLog | Where-Object {$_.category -eq "system" -and $_.message -like "*context switching*"}

1. 2020-05-13Disclosure

   disclosure

2. 2020-05-13Patch

   patch

1. 已保留2019-12-04
2. 发布日期2020-05-13
3. 修改日期2024-09-16
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即升级至受影响版本之后的修复版本 9.0.6。如果无法立即升级，可以考虑以下临时缓解措施：限制对 Panorama 管理界面的网络访问，仅允许授权人员访问；实施多因素身份验证 (MFA) 以增加身份验证的安全性；监控 Panorama 日志，查找可疑活动；如果使用自定义证书进行 Panorama 和受管理设备之间的通信，则此漏洞不适用。升级后，请验证防火墙配置是否正常，并确认漏洞已成功修复。