PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能にセキュリティニュースアラート

セキュリティに特化したPalo Alto Networks製のOS「PAN-OS」に脆弱性が見つかった。CVSS v4.0スコア10.0、深刻度「緊急」(Critical)に分類されているため、迅速な対応が求められる。

» 2024年04月16日 07時30分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Palo Alto Networksは2024年4月12日(現地時間)、同社製のセキュリティに特化したOS「PAN-OS」にコマンドインジェクションの脆弱(ぜいじゃく)性が存在すると伝えた。脆弱性は共通脆弱性評価システム(CVSS) v4.0スコア10.0、深刻度「緊急」(Critical)に分類されている。

PAN-OSにCVSS v4.0「10.0」の脆弱性 影響を受けるケースとは?

 脆弱性は、PAN-OSにおいてVPNなどを提供する「GlobalProtect」機能に見つかったもので、悪用されると認証されていないサイバー攻撃者がファイアウォールにおいてroot権限で任意のコードを実行できる危険性がある。脆弱性の影響を受けるバージョンおよびケースと対応策とは。

 同脆弱性は「CVE-2024-3400」として特定されている。Palo Alto Networksはこの脆弱性を悪用したサイバー攻撃が限定的に発生することを認識しており、該当OSを使用している場合は直ちに回避策や緩和策の実施、またはアップデートの適用が求められる。

 脆弱性の影響を受けるバージョンは以下の通りだ。

  • PAN-OS 11.1 11.1.2-h3よりも前のバージョン
  • PAN-OS 11.0 11.0.4-h1よりも前のバージョン
  • PAN-OS 10.2 10.2.9-h1よりも前のバージョン

 脆弱性が修正されたバージョンは以下の通りだ。

  • PAN-OS 11.1 11.1.2-h3およびこれ以降のバージョン(2024年4月14日から提供予定)
  • PAN-OS 11.0 11.0.4-h1およびこれ以降のバージョン(2024年4月14日から提供予定)
  • PAN-OS 10.2 10.2.9-h1およびこれ以降のバージョン(2024年4月14日から提供予定)

 Palo Alto Networksによると、同脆弱性は該当OSにおいてGlobalProtectゲートウェイ、またはGlobalProtectポータル(またはその両方)とデバイステレメトリーが有効になっている場合にのみ影響を受けるという。

 GlobalProtectゲートウェイ、またはGlobalProtectポータルが設定されているかどうかは「Network→GlobalProtect→Gateways」または「Network→GlobalProtect→Portals」で確認できる。デバイステレメトリーが有効になっているかどうかは「Device→Setup→Telemetry」で確認可能だ。

 Palo Alto Networksは問題を軽減する方法として、脅威防御サブスクリプションを所有している顧客に対しては「脅威ID 95187(アプリケーションと脅威コンテンツバージョン8833-8682で導入)」を有効化にすることに加え、脆弱性保護がGlobalProtectインタフェースに適用されているかどうかを確認することを推奨している。

 脅威防御ベースの緩和策を適用できない場合は、脆弱性が修正されたPAN-OSのバージョンにアップデートするまでデバイスのテレメトリーを一時的に無効にすることでこの脆弱性の影響を軽減できる。なお、アップデート後はデバイステレメトリーの再度有効化が必要になる。

 同脆弱性が実際に悪用された場合の詳細については「Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400」に説明がまとまっている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ