PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に：セキュリティニュースアラート

セキュリティに特化したPalo Alto Networks製のOS「PAN-OS」に脆弱性が見つかった。CVSS v4.0スコア10.0、深刻度「緊急」（Critical）に分類されているため、迅速な対応が求められる。

[後藤大地，有限会社オングス]

　Palo Alto Networksは2024年4月12日（現地時間）、同社製のセキュリティに特化したOS「PAN-OS」にコマンドインジェクションの脆弱（ぜいじゃく）性が存在すると伝えた。脆弱性は共通脆弱性評価システム（CVSS） v4.0スコア10.0、深刻度「緊急」（Critical）に分類されている。

PAN-OSにCVSS v4.0「10.0」の脆弱性　影響を受けるケースとは？

　脆弱性は、PAN-OSにおいてVPNなどを提供する「GlobalProtect」機能に見つかったもので、悪用されると認証されていないサイバー攻撃者がファイアウォールにおいてroot権限で任意のコードを実行できる危険性がある。脆弱性の影響を受けるバージョンおよびケースと対応策とは。

　同脆弱性は「CVE-2024-3400」として特定されている。Palo Alto Networksはこの脆弱性を悪用したサイバー攻撃が限定的に発生することを認識しており、該当OSを使用している場合は直ちに回避策や緩和策の実施、またはアップデートの適用が求められる。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• PAN-OS 11.1 11.1.2-h3よりも前のバージョン
• PAN-OS 11.0 11.0.4-h1よりも前のバージョン
• PAN-OS 10.2 10.2.9-h1よりも前のバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• PAN-OS 11.1 11.1.2-h3およびこれ以降のバージョン（2024年4月14日から提供予定）
• PAN-OS 11.0 11.0.4-h1およびこれ以降のバージョン（2024年4月14日から提供予定）
• PAN-OS 10.2 10.2.9-h1およびこれ以降のバージョン（2024年4月14日から提供予定）

　Palo Alto Networksによると、同脆弱性は該当OSにおいてGlobalProtectゲートウェイ、またはGlobalProtectポータル（またはその両方）とデバイステレメトリーが有効になっている場合にのみ影響を受けるという。

　GlobalProtectゲートウェイ、またはGlobalProtectポータルが設定されているかどうかは「Network→GlobalProtect→Gateways」または「Network→GlobalProtect→Portals」で確認できる。デバイステレメトリーが有効になっているかどうかは「Device→Setup→Telemetry」で確認可能だ。

　Palo Alto Networksは問題を軽減する方法として、脅威防御サブスクリプションを所有している顧客に対しては「脅威ID 95187（アプリケーションと脅威コンテンツバージョン8833-8682で導入）」を有効化にすることに加え、脆弱性保護がGlobalProtectインタフェースに適用されているかどうかを確認することを推奨している。

　脅威防御ベースの緩和策を適用できない場合は、脆弱性が修正されたPAN-OSのバージョンにアップデートするまでデバイスのテレメトリーを一時的に無効にすることでこの脆弱性の影響を軽減できる。なお、アップデート後はデバイステレメトリーの再度有効化が必要になる。

　同脆弱性が実際に悪用された場合の詳細については「Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400」に説明がまとまっている。