Palo Alto Networks の Firewall/VPN に OpenSSL の脆弱性が影響をおよぼす

Palo Alto Networks firewalls, VPNs vulnerable to OpenSSL bug

2022/04/07 BleepingComputer — 4月2日に、米国のサイバー・セキュリティ企業である Palo Alto Networks は、同社の Firewall/VPN/XDR 製品の一部に、3週間前に公開された深刻度の高い OpenSSL 無限ループの脆弱性 CVE-2022-0778 が存在すると顧客に警告した。この脆弱性の悪用に成功した脅威アクターは、サービス拒否状態を引き起こし、未パッチのソフトウェアを実行しているデバイスを、リモートからクラッシュさせることが可能となる。

OpenSSL チームは2週間前に、このバグの公開と同時にパッチをリリースしているが、Palo Alto Networks がセキュリティアップデートをリリースする 4月18日の週まで、顧客は待たなければならない。

同社は、「PAN-OS/GlobalProtect アプリ/Cortex XDR エージェントに、脆弱なバージョンの OpenSSL ライブラリが含まれており、この脆弱性により可用性に影響が生じる。PAN-OS ソフトウェアの問題については、ハードウェアと仮想ファイアウォール、Panorama アプライアンス、Prisma Access の顧客が対象となる。ただし、Cortex XDRエージェントと GlobalProtect アプリにおいては、悪用には中間者攻撃 (MITM) が必要なため、深刻度が低下している」と述べている。

このバグは、PAN-OS 8.1 以降、および、GlobalProtect アプリと Cortex XDR エージェントの全バージョンに影響する。なお、Palo Alto Networks は、この脆弱性について、同社の Prisma Cloud および Cortex XSOAR には影響しないとしている。

顧客に対して緩和策を提供

現時点において、PAN-OS 用のホット・フィックスは開発中だが、Threat Prevention サブスクリプションを利用する顧客は、Threat ID 92409/92411 を有効にすることで、この脆弱性に対する既知の攻撃をブロックし、また、既知のエクスプロイトからの悪用リスクを軽減できる。

幸いなことに、たとえ PoC エクスプロイトがオンラインで入手できたとしても、Palo Alto Networks の製品においては、この問題が悪用された形跡はないとのことだ。

OpenSSL の無限ループの欠陥は、攻撃者がユーザーの操作を必要としないという、複雑度の低い攻撃で悪用できるが、OpenSSL チームによると、悪用に成功した場合の影響は、サービス拒否のトリガーに限定されるとのことだ。

OpenSSL の広報担当者は BleepingComputer に対して、「この欠陥の悪用は、それほど難しくないが、影響は DoS に限定される。この欠陥の悪用が問題となる、最も一般的なシナリオは、問題のある証明書を提供する悪意のサーバーにアクセスする TLS クライアントのケースである。TLS サーバーがクライアント認証を使用している場合 (一般的な構成ではない) に、悪意のクライアントが接続しようとすると、影響を受ける可能性がある。それにより、どの程度までアクティブな悪用につながるかを推測するのは困難だ」と述べている。

先週には、NAS メーカーの QNAP も、この OpenSSL DoS バグにより、同社の大半の NAS デバイスが影響を受けるため、可能な限り早急にパッチをリリースすると、顧客に警告している。

この、OpenSSL の脆弱性 CVE-2022-0778 ですが、2022年3月16日の「OpenSSL 証明書解析の脆弱性 CVE-2022-0778 が FIX:サービス拒否が発生」、3月30日の「QNAP 警告:NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX」、3月31日の「OpenSSL の脆弱性 CVE-2022-0778 の追跡調査:各ベンダーたちの現状について」という具合に、立て続けに報道されています。この先も、続報があるかもしれませんね。

%d bloggers like this: