Palo Alto Networks製アプライアンスに複数の脆弱性 リスク軽減のための対策は：セキュリティニュースアラート

Eclypsiumは、Palo Alto Networks製の複数のアプライアンスに重大なセキュリティ脆弱性があると警告した。セキュアブートの回避や特権昇格、セキュリティ機能のバイパスなどのリスクがあるという。

[後藤大地，有限会社オングス]

　Eclypsiumは2025年1月23日（現地時間）、Palo Alto Networksの複数のアプライアンスに脆弱（ぜいじゃく）性が存在することを発表した。これらの脆弱性が悪用された場合、セキュアブートの回避や特権昇格、セキュリティ機能のバイパスなどが実行される可能性がある。

　セキュリティアプライアンスはネットワークの安全を確保するための重要な要素となっている。しかし今回の調査で複数のPalo Alto Networksのデバイスがサプライチェーンのセキュリティやデバイスの整合性において脆弱であることが明らかとなった。Palo Alto NetworksのPA-3260やPA-1410、PA-415モデルにおいて深刻な脆弱性が確認されている。

Palo Alto Networks製品に見つかった複数の脆弱性

　発見された主な脆弱性は以下の通りだ。

• BootHoleとセキュアブートバイパスの脆弱性（影響を受けるプラットフォーム：PA-3260、PA-415、PA-1410）：　GRUB2ブートローダーの脆弱性（CVE-2020-10713、別名:BootHole）によって、セキュアブートの回避が可能。攻撃者はファームウェアを改ざんし、永続的なマルウェアの埋め込みを実施する恐れがある
• InsydeH2O UEFIの脆弱性（影響を受けるプラットフォーム：PA-3260）：　UEFIファームウェアに複数の脆弱性（CVE-2022-24030、CVE-2021-45970、CVE-2021-43323、CVE-2021-42554、CVE-2021-42060、CVE-2021-33627）が確認され、攻撃者による特権昇格やセキュリティ機能のバイパスが可能となる
• LogoFAILの脆弱性（影響を受けるプラットフォーム：PA-3260）：　UEFIコードのロゴ表示処理に起因する脆弱性により、起動プロセスの初期段階で悪意あるコードが実行可能になる
• PixieFailの脆弱性（影響を受けるプラットフォーム：PA-1410、PA-415）：　 PXEネットワークブート時のDHCPv6処理に欠陥（CVE-2023-45229）があり、攻撃者によるリモートコード実行（RCE）が可能になる
• 安全でないフラッシュアクセス制御（影響を受けるプラットフォーム：PA-415）：　SPIフラッシュメモリへのアクセス制御が適切に設定されておらず、UEFIの改ざんやセキュリティ機能のバイパスが可能になる
• TPMの脆弱性（影響を受けるプラットフォーム：PA-415）：　既知のTPM関連の脆弱性（CVE-2023-1017）を悪用し、システムの整合性を損なう恐れがある
• Intel Boot Guardの漏えいキーのバイパス（影響を受けるプラットフォーム：PA-1410）：　IntelのAlder Lake BIOSソースコードの漏えいに起因する脆弱性。セキュリティ機能のバイパスが可能になる

　これらの脆弱性が適切に対処されていない場合、侵入や持続的な攻撃の足掛かりとなり、ネットワーク全体の安全性が脅かされる可能性がある。Eclypsiumは企業がこれらのリスクを軽減するためにベンダーからの最新ファームウェアおよびセキュリティパッチの適用、デバイスの整合性監視、ログ分析の強化、セキュリティ設定の見直しや適切な構成の維持、サプライチェーンのセキュリティ評価の徹底といった対策を講じることを推奨している。