Palo Alto Networks製品にDoS脆弱性 再起動やサービス停止の恐れ：セキュリティニュースアラート

Palo Alto Networksは、PAN-OSのADNS機能に未認証で再起動を誘発可能なDoS脆弱性を公表した。特定バージョンが影響を受け、速やかな修正版への更新が求められている。

[ITmedia エンタープライズ編集部]

　Palo Alto Networksは2026年2月12日（現地時間）、同社のファイアウォールOS「PAN-OS」において、DoS攻撃を引き起こす脆弱（ぜいじゃく）性が存在すると発表した。同脆弱性は「CVE-2026-0229」として識別されている。

PAN-OSにDoS脆弱性（CVE-2026-0229）　ADNS機能に起因し再起動を誘発

　CVE-2026-0229は、PAN-OSのAdvanced DNS Security（ADNS）機能に存在する脆弱性で、細工されたパケットを受信することで未認証の攻撃者がシステムの再起動を引き起こす可能性がある。攻撃が繰り返された場合、ファイアウォールはメンテナンスモードに移行する。これにより、通信処理に影響が生じる恐れがある。

　影響を受けるのは、PAN-OSのうち特定のバージョンとされる。具体的にPAN-OS 12.1系では12.1.4未満（12.1.2から12.1.3まで）、11.2系では11.2.10未満（11.2.0から11.2.9まで）が該当する。12.1系は12.1.4以降、11.2系は11.2.10以降で修正されている。11.1系および10.2系は影響を受けないとされる。クラウド提供形態のCloud NGFWおよび「Prisma Access」は同脆弱性の影響を受けないと報告した。

　同脆弱性が悪用可能となる条件として、ファイアウォールでADNSが有効化されていること、かつスパイウェアプロファイルでblock、sinkhole、alertなど許可以外のアクションが設定されていることが挙げられている。これらの条件を満たす構成において脆弱とされる。Palo Alto Networksによる共通脆弱性評価システム（CVSS）のスコアは8.7、深刻度「警告」（Medium）と評価されている。ネットワーク経由で攻撃が可能であり、特別な権限や利用者の操作を必要としないことを示している。影響は可用性に限定され、機密性および完全性への影響はないとされる。

　同社は本件に関して悪用の事例は把握していないと説明している。対策としては、修正済みバージョンへのアップグレードが提示されている。PAN-OS 12.1系は12.1.4以降、11.2系は11.2.10以降への更新が推奨される。サポート対象外の旧バージョンを使用している場合は、サポート対象で修正が適用されたバージョンへの移行が求められる。「Cloud NGFW」や「Prisma Access」については対応不要だ。

　本件に関して既知の回避策は存在しない。脆弱性の性質上、Threat Preventionシグネチャによる検知も不可能と説明されている。影響を受ける環境では速やかなバージョン確認および更新の実施が求められる。