PAN-OSのゼロデイ脆弱性の悪用が増加中 Palo Alto Networksが警告：Cybersecurity Dive

PAN-OSに見つかったCVSSスコア10.0のゼロデイ脆弱性に関連する悪用や攻撃の試みは、概念実証が公開された後に増加した。

[Matt Kapko，Cybersecurity Dive]

　Palo Alto Networksが提供するセキュリティ製品向けOS「PAN-OS」のコマンドインジェクションの脆弱（ぜいじゃく）性（CVE-2024-3400）を狙う攻撃者が増えている。

PAN-OSに見つかった脆弱性とPalo Alto Networksの対応

　Palo Alto Networksの脅威インテリジェンスチームであるUnit 42は、2024年4月15日（現地時間、以下同）に情報を更新し（注1）、「私たちはこの脆弱性を悪用した攻撃の増加を認識している」とコメントした。同ベンダーは、積極的に悪用されているデバイスの数については明らかにしていないが、CVE-2024-3400の悪用を試みる20のIPアドレスを追加で観測したと述べている（注2）。

　2024年4月12日に最初の勧告を発表して以来、Palo Alto Networksは脆弱性の影響を受けるPAN-OSのバージョンを拡大し、二次的な緩和策を撤回した。同社は「テレメトリーを無効にすることは、もはや有効な緩和策ではない。PAN-OSファイアウォールがこの脆弱性に関連する攻撃にさらされる場合、デバイスのテレメトリーを有効にする必要はない」と述べている。

　この脆弱性の影響を受けるPalo Alto Networksのデバイスが拡大し、攻撃の試みが迅速化したのは、複数のサードパーティーが脆弱性の概念実証を公開した後のことだった。

　非営利団体The Shadowserver Foundationのデータによると（注3）、影響を受けるPalo Alto Networksのデバイスのうち15万6000台以上がインターネットに接続されており、攻撃を受ける可能性がある。これらのデバイスのうち何台にパッチが適用されているかは不明だ。

　CVE-2024-3400は（注4）、認証されていない攻撃者がルート権限で任意のコードを実行できるようにするもので、PAN-OSデバイスのGlobalProtectゲートウェイまたはポータルVPN機能に影響する。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、2024年4月12日にCVE-2024-3400を脆弱性のカタログに追加した（注5）。

　Palo Alto Networksは、この脆弱性にCVSSのスコアとして「10.0」を割り当てた。同社は2024年4月14日に、影響を受けるデバイスの一部に対して初期パッチを発行した（注6）。また、同社は、同年4月18日と同年4月19日に、影響を受けるPAN-OSデバイスの古いバージョンに対するパッチをリリースする予定である。

　Palo Alto Networksの広報担当者は、電子メールで次のように述べている。

　「この脆弱性が判明した時点で、影響を受ける顧客に直ちに通知し、この問題に完全に対処するホットフィックスについて知らせた。顧客には、可能な限り早くそれを適用してほしい」

　Rapid7の研究者は、影響を受けるOSのバージョンの一つであるPAN-OS 10.2.9でパッチをテストした。Rapid7のケイトリン・コンドン氏（ディレクター）によると、パッチは攻撃を防いだという。同社は、現実の環境で脆弱性の悪用を観察していない。

　2024年4月10日にゼロデイ脆弱性を発見した脅威インテリジェンス企業のVolexityは（注7）、その後、複数の顧客環境において、同年3月26日の時点で脆弱性の悪用が成功していたと判断した。

　Palo Alto Networksは、このゼロデイ攻撃は「Operation MidnightEclipse」と名付けた国家に関連するグループによるものだとしている（注8）。しかし、同社は「このグループと、さらなる悪用の試みに関連するIPアドレスやその他の指標との間に明確な関連性はない」と述べている。

　Rapid7の調査によると、この攻撃は、まだ指定されていない2つ目の脆弱性にも関連している。

　Rapid7の研究者は、2024年4月16日のブログ投稿で次のように述べている（注9）。

　「Rapid7がこの脆弱性を分析した結果、この脆弱性は実際には2つの異なる脆弱性からなるエクスプロイトチェーンであることが判明した。2つとは、GlobalProtectのWebサーバにおける任意のファイル作成の脆弱性（個別のCVEは割り当てられていない）およびデバイスの遠隔測定機能におけるコマンドインジェクションの脆弱性（CVE-2024-3400として指定されている）だ」

　サイバーセキュリティ企業であるGreyNoiseの研究者は、2024年4月17日に同様の発見をしたと述べ、「CVE-2024-3400の悪用は、ディレクトリトラバーサルと任意のファイル名の書き込みを可能にする現在追跡されていないCVEの脆弱性を利用することによってのみ可能である」と結論付けた。

　GreyNoiseのデータでは、CVE-2024-3400を悪用しようとした試みが2024年4月16日に3回、2024年4月18日に11回あった（注10）。

　今回の悪用とその結果としての情報の露出は、企業環境におけるネットワークデバイスとセキュリティハードウェアを標的にした攻撃の新たな連鎖を意味する。経済的な動機があり、国家に関連する攻撃者は、2023年にCitrix（注11）、Ivanti（注12）、Barracudaが販売したデバイスの脆弱性を広く悪用した（注13）。

（注1）Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 (Updated May 3)（UNIT 42）
（注2）CVE-2024-3400 Detail（NIST）
（注3）IoT device statistics Tree map by country（SHADOW SERVER）
（注4）CVE-2024-3400 Detail（NIST）
（注5）CISA Adds One Known Exploited Vulnerability to Catalog（CISA）
（注6）Palo Alto Networks fixes maximum severity, exploited CVE in firewalls（Cybersecurity Dive）
（注7）Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400)（VOLEXITY）
（注8）Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 (Updated May 3)（UNIT 42）
（注9）CVE-2024-3400（ATTACKER VALUE）
（注10）PALO ALTO PAN-OS CVE-2024-3400 RCE ATTEMPT（GREYNOISE）
（注11）CitrixBleed worries mount as nation state, criminal groups launch exploits（Cybersecurity Dive）
（注12）Ivanti pledges security overhaul after critical vulnerabilities targeted in lengthy exploit spree（Cybersecurity Dive）
（注13）Barracuda zero-day vulnerability exploited for 7 months before detection（Cybersecurity Dive）

原文へのリンク