「PAN-OS」に2件の重大な脆弱性 技術レポート公開後に攻撃が実行される：セキュリティニュースアラート

Arctic Wolf Networksは、Palo Alto Networks製「PAN-OS」の2件の脆弱性を悪用した攻撃について報告した。攻撃者は脆弱性レポートの公開数時間後に、ペイロードの配布や機密情報窃取などの攻撃を実行したとみられる。

[後藤大地，有限会社オングス]

　Arctic Wolf Networksは2024年11月22日（現地時間）、Palo Alto Networksのファイアウォールデバイスが侵害された事案について概要と対策を伝えた。

　このサイバー攻撃にはPalo Alto Networksのセキュリティ特化型OS「PAN-OS」から発見された2件の脆弱（ぜいじゃく）性「CVE-2024-0012」および「CVE-2024-9474」が悪用された。

PAN-OSに2件の重大な脆弱性、詳細レポート公開後に複数の侵入を観測

　これらの脆弱性を組み合わせて悪用すると、リモートコード実行（RCE）が可能となる。脆弱性が公表された翌日、watchTowr Labsは攻撃に関する技術的な詳細をレポートとして発表した。エクスプロイトは公開しなかったが、攻撃プロセスを理解するには十分な情報だったとされる。

　watchTowr Labsによるレポート公開から数時間後、Arctic Wolf NetworksはPAN-OSデバイスへの複数の侵入を観測した。加えて攻撃に使用されたファイルから、watchTowr LabsとCVE-2024-9474への参照を確認したと報告している。攻撃者がレポートを参考にしたかは定かではないが、少なくともレポートを把握していたことは間違いないとみられる。

　PAN-OSからは2024年4月にも脆弱性「CVE-2024-3400」が発見されており、脆弱性を悪用した攻撃が観測されている。Arctic Wolf Networksは同年4月の事案と今回の事案において同様の攻撃手法を幾つか確認したとして、そのうちの一つを解説している。

　攻撃者が使用した特徴的なペイロードのダウンロード方法は、「curl」または「wget」コマンドを使用してIPv4アドレスを直接指定したURLからダウンロードする手法とされる。ペイロードとしては、Cobalt Strikeのオープンソース実装の「BishopFox/Sliver（別名：Sliver C2）」、PHP Webシェル、コインマイナーの「XMRig」が確認されている。

　今回の攻撃ではペイロードの配布だけではなく、機密情報の窃取も観測された。対象となったファイルは、ハッシュ化された資格情報を含むファイアウォール構成ファイルおよびOSのシャドーファイルとされる。一部の攻撃ではこれら機密情報を「tar」ファイルに圧縮し、画像ファイルとして窃取を試みたことが判明している。

　今回発見された2件の脆弱性は修正済みで、影響を受けるデバイスを運用している管理者には速やかなアップデートが推奨されている。また、Palo Alto Networksは追加の対策としてデバイスのWeb管理インタフェースをインターネットに公開せず、信頼できる内部IPアドレスのみに制限することを強く推奨している。