Palo Alto の GlobalProtect VPN で深刻なゼロデイ脆弱性が発見された

Palo Alto Warns of Zero-Day Bug in Firewalls Using GlobalProtect Portal VPN

2021/11/10 TheHackerNews — Palo Alto Networks の GlobalProtect VPN における、新たなゼロデイ脆弱性が公開された。この脆弱性を悪用すると、認証されていないネットワークベースの攻撃者が、感染したデバイス上で root ユーザー権限で、任意のコードを実行することが可能となる。この、CVE-2021-3064 (CVSS:9.8) として追跡されているセキュリティ上の弱点は、PAN-OS 8.1.17 より前の PAN-OS 8.1x に影響する。マサチューセッツ州のサイバーセ・キュリティ企業である Randori が、この問題を発見/報告している。

Randori の研究者たちは、「外部の Web サーバーが行う検証のバイパス (HTTP smuggling) と、スタックベースのバッファ・オーバーフローにより、脆弱性の連鎖が構成される。この脆弱性チェーンの悪用は証明されており、物理ファイア・ウォールと仮想ファイア・ウォールの両方の製品で、リモートコードの実行が可能となっている」と述べている。

CVE-2021-3064 に関する技術的な詳細は、この脆弱性を利用する脅威アクターたちが、実際の攻撃を行うことを防ぐため、30日間は非公開となっている。

このセキュリティ・バグは、ユーザーからの入力を解析する際に発生するバッファ・オーバーフローに起因している。この脆弱性を利用するには、HTTP smuggling と呼ばれる手法を用いて、VPN をインストールする際にリモートコードを実行する必要がある。もちろん、その前提として、GlobalProtect サービスのデフォルト Port 443 でデバイスにネットワーク・アクセスする必要もある。

Palo Alto Networks のアドバイザリには、「Palo Alto Networks GlobalProtect の、ポータル/ゲートウェイ・インターフェイスにはメモリ破壊の脆弱性が存在し、認証されていないネットワークベースの攻撃者がシステム・プロセスを破壊し、root 権限で任意のコードを実行する可能性がある。この問題を悪用するには、GlobalProtect インターフェースへのネットワークアクセスを、攻撃者が持っている必要がある」と記されている。

VPN デバイスが脅威アクターの格好の標的になっているという事実を考慮すべきであり、また、この脆弱性に素早く対処することが、ユーザーには強く推奨されている。なお、Palo Alto Networks では、CVE-2021-3064 に関連する潜在的な攻撃を防ぐために、GlobalProtect のポータル/ゲートウェイ・インターフェイスに向けたトラフィックに対して、識別子 91820 および 91855 の脅威シグネチャを有効にするよう、影響を受ける組織に助言している。

最近の VPN 関連のトピックとしては、9月22日の「北米の VPN 市場:まもなく 700億ドル規模に達する」、8月26日の「CISA マルウェア解析レポート:Pulse Secure VPN 攻撃の詳細とは?」、8月6日の「Ivanti Pulse Connect Secure VPN に存在する深刻なコード実行脆弱性が FIX」などがあります。また、背景がつかめないトピックとしては、10月19日の「Zerodium とゼロデイ脆弱性:NordVPN/ExpressVPN/SurfShark が対象」があります。カテゴリ VPN も、よろしければ ど〜ぞ。

%d bloggers like this: