Palo Alto Networks Patches Vulnerabilities Allowing Firewall Disruption
2024/04/11 SecurityWeek — 4月11日に発表された、Palo Alto Networks の PAN-OS のアップデートは、ファイアウォール機能を妨害するために悪用される、複数の脆弱性に対処したものであり、その中には深刻度の高い欠陥も含まれる。修正された脆弱性のうち、3つの脆弱性 (重要度:High) は、サービス拒否 (DoS:Denial-of-Service) 攻撃に悪用される可能性がある。
1つ目の DoS 脆弱性 CVE-2024-3385 は、特別に細工したパケットを用いる、認証されていないリモートの攻撃者に対して、ハードウェアベースのファイアウォールの再起動を許すものである。この攻撃が繰り返されると、ファイアウォールがメンテナンス・モードに陥り、オンラインに戻すためには、手動による操作が必要になる。
この脆弱性は PA-5400/PA-7000 ファイアウォールにのみ存在し、GTP セキュリティが無効化されている場合にのみ、発生することが判明している。
Palo Alto Networks によると、この脆弱性 CVE-2024-3385 を悪用した悪質な攻撃は確認されていないが、2社の顧客において、通常の本番使用中に、この問題がトリガーされたことが発見されているという。
2つ目の、DoS の脆弱性 CVE-2024-3384 の悪用に成功した攻撃者は、特別に細工された NTLM パケットを使用して、リモートから PAN-OS ファイアウォールの再起動を可能にする。この脆弱性も、CVE-2024-3385 と同様に、ファイアウォールをメンテナンス・モードに移行させることが可能だ。したがって、システムの復旧には手動による操作が必要となる。
3つ目の DoS 脆弱性 CVE-2024-3382 は、攻撃がより複雑になる。この脆弱性の悪用に成功した攻撃者は、ファイアウォールを介して悪意のパケットをバースト送信することが可能になるため、ファイアウォールによるトラフィック処理を妨害できる。なお、この脆弱性は、SSL Forward Proxy 機能が有効化されているデバイスに対してのみ影響を及ぼす。
また、Palo Alto Networks は、Cloud Identity Engine (CIE) エージェントから受信したデータの処理方法に関連する、PAN-OS の脆弱性 CVE-2024-3383 (重要度:High) にも対処している。
同社は、「この脆弱性が悪用されると、User-ID グループが変更される可能性がある。それにより、既存のセキュリティ・ポリシー・ルールに基づく、ネットワーク・リソースへのユーザー・アクセスに影響が生じ、不適切に拒否/許可されるケースが引き起こされる」と説明している。
Palo Alto Networks は、これらの4つの脆弱性の他にも、復号化除外/ユーザーなりすまし/サードパーティの OSS に関連する、重要度 High の脆弱性にも対処している。
さらに同社は、Panorama Software に存在する、MitM 攻撃や暗号化されたトラフィックのキャプチャに悪用される可能性のある、脆弱性 (重要度:Medium) も修正している。
Palo Alto Networks に脆弱性というのは、珍しい感じがします。このブログでのインシデント記事は、2022/10/15 の「Palo Alto PAN-OS の脆弱性 CVE-2022-0030 が FIX:認証バイパスの恐れ」にまで遡ります。なお、この記事の直後に、脆弱性 CVE-2024-3340 も公表されています。ご利用のチームは、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.