安全公告编号:CNTA-2017-0085

近日，国家信息安全漏洞共享平台（CNVD）收录了Palo Alto Networks防火墙操作系统PAN-OS远程代码执行漏洞（CNVD-2017-37056，对应CVE-2017-15944）。允许远程攻击者通过包含管理接口的向量来执行任意代码。

一、漏洞情况分析

Palo Alto Networks PAN-OS是美国Palo AltoNetworks公司为其下一代防火墙设备开发的一套操作系统。 2017年12月12日，Palo AltoNetworks公司发布了PAN-OS安全漏洞公告，修复了PAN-OS多个漏洞，通过组合利用这些不相关的漏洞，攻击者通过设备的管理接口可以在最高特权用户的上下文中远程执行代码。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

受影响的版本如下：

<=PAN-OS 6.1.18

<=PAN-OS 7.0.18

<=PAN-OS 7.1.13 

<=PAN-OS 8.0.5

三、漏洞修复建议

厂商已经修复了该漏洞，请及时更新到PAN-OS6.1.19、PAN-OS 7.0.19 PAN-OS 7.1.14、PAN-OS 8.0.6 等版本。详情请关注厂商主页：http://www.paloaltonetworks.com/

临时缓解措施：

建议对管理接口隔离，无论是通过网络分割或是在PAN-OS中使用IP访问控制列表限制功能都应只允许安全管理员访问，并严格限制其他用户角色访问。

附：参考链接：

https://securityadvisories.paloaltonetworks.com/Home/Detail/102

https://nvd.nist.gov/vuln/detail/CVE-2017-15944

http://www.securityfocus.com/bid/102079  

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37056