11月8日资安业者Palo Alto Networks针对防火墙用户发布相当不寻常的公告，编号为PAN-SA-2024-0015，表示他们得知有人掌握一项防火墙漏洞，呼吁用户应限缩管理介面的存取管道因应，如今该公司对此情况提出进一步说明。

11月18日该公司更新PAN-SA-2024-0015公告，指出此为网页管理介面的身分验证旁路漏洞，登记的通用漏洞揭露编号为CVE-2024-0012，而且，已出现一定数量的漏洞利用情形。未经身分验证的攻击者存取网页管理介面，就有机会得到防火墙作业系统PAN-OS的管理员权限，并执行管理行为，像是窜改防火墙组态，或是利用其他漏洞（如同日公布的CVE-2024-9474）进行权限提升。

这项漏洞影响10.2、11.0、11.1、11.2版PAN-OS作业系统，CVSS风险评为9.3分，该公司认为严重性为重大层级，并建议以最为紧急的优先程度进行处理。不过，10.1版PAN-OS，以及云端版次世代防火墙（Cloud NGFW）、SASE系统Prisma Access不受影响。

值得一提的是，Palo Alto Networks也特别提及，限缩存取管理介面的管道能够大幅降低这项漏洞带来的危险，原因是攻击必须透过特定IP位址进行。若是IT人员限制仅能透过受信任的内部IP位址来存取管理介面，CVSS风险大幅降至5.9分。

另一个也被用于攻击行动的漏洞是CVE-2024-9474，此漏洞也同样出现于PAN-OS网页管理介面，属于权限提升漏洞，攻击者在已经取得管理员权限的情况下，就有机会藉此以root权限操作防火墙，CVSS风险为6.9分，影响搭配10.1、10.2、11.0、11.1、11.2版PAN-OS作业系统的防火墙设备。

虽然这项漏洞的危险程度仅评为中度，但由于恶意管理员能藉此窜改防火墙，进而影响系统的完整性，再加上已出现实际的利用行动，Palo Alto Networks还是认为，IT人员要以最高优先顺序处理这项漏洞。

该公司也提及，若是能限缩能够存取管理介面的来源IP位址，能够降低该漏洞造成的资安风险，此时的CVSS风险评分将降为5.9。

而对于利用上述漏洞的攻击行动，Palo Alto Networks将其命名为Operation Lunar Peek，并指出有一定数量的管理介面遭到骇客锁定，相关攻击来自已知的代理服务器及隧道IP位址，研判对方利用匿名VPN服务从事相关活动。

一旦攻击者成功利用漏洞，就有可能在防火墙执行命令，或是植入恶意程序及Web Shell。