PAN-OSにDoS攻撃を可能とする脆弱性 回避策や緩和策はなし：セキュリティニュースアラート

Palo Alto Networksは、PAN-OSのGlobalProtect機能におけるDoS脆弱性を発表した。未認証の攻撃によってファイアウォールが停止する恐れがある。回避策や緩和策は存在しないとされている。

[ITmedia エンタープライズ編集部]

　Palo Alto Networksは2026年1月15日（現地時間）、同社のファイアウォールOS「PAN-OS」において、認証を必要としない攻撃者がDoS攻撃を引き起こす可能性のある脆弱（ぜいじゃく）性が存在すると発表した。

　この脆弱性は「GlobalProtect」のゲートウェイまたはポータル機能が有効化されている構成に影響するとされている。

PAN-OSのGlobalProtectにDoS脆弱性、回避策や緩和策はなし

　脆弱性はCVE-2026-0227として識別されている。同社の説明によるとこの脆弱性はPAN-OSの例外的な状態に対しチェックが不十分であることに起因する。ネットワーク経由で特定のリクエストを繰り返し送信されると、ファイアウォールが保守モードに移行し、通信処理が停止する可能性がある。

　影響は可用性に限定され、機密性や完全性への直接的な影響はないとされる。共通脆弱性評価システム（CVSS）v4.0のスコアは7.7とされ、深刻度「重要」（High）に分類されている。攻撃の成立に特別な前提条件や利用者の操作は不要とされている。

　本件は製品の実運用環境において発見されたが、同社は悪用された事例を把握していないとしている。攻撃の成立条件が比較的単純で、自動化も可能と評価されている点から、注意喚起が公開された。

　影響を受けるのは、PAN-OS 12.1、11.2、11.1、10.2、10.1の一部バージョンおよび「Prisma Access」の特定バージョン。「Cloud NGFW」については影響がないとされる。GlobalProtect機能を有効にしていない構成においては同脆弱性は適用されない。

　同社は修正版へのアップグレードを唯一の対処策として提示している。PAN-OS 12.1系では12.1.4以降、11.2系では11.2.10-h2以降、11.1系では11.1.13以降、10.2系では10.2.18-h1以降への更新が推奨される。PAN-OS 10.1系についても影響を受けるバージョンが存在し、10.1.14-h20で修正が適用されているが、同社はより新しいサポート対象バージョンへの移行を推奨している。

　サポート対象外となっている旧バージョンを使用している場合、修正済みのサポート対象バージョンへの移行が求められる。Prisma Accessについては、多くの利用者で既にアップグレードが完了しており、残る利用者についても標準的な手順で更新作業が進められているという。

　回避策や設定変更による緩和策は存在しないと明記されており、影響を受ける環境では速やかなアップグレードの実施が必要となる。Palo Alto Networksは対象のユーザーに対し、セキュリティアドバイザリーを確認して速やかに更新および必要なセキュリティ対策を実施するよう呼びかけている。