22,500 Palo Alto firewalls “possibly vulnerable” to ongoing attacks
2024/04/19 BleepingComputer — 2024年3月26日以降において、Palo Alto GlobalProtect ファイアウォール・デバイス約 22,500台に、活発な攻撃で悪用されているコマンド・インジェクションの脆弱性 CVE-2024-3400 が存在する可能性があるという。この脆弱性 CVE-2024-3400 は、GlobalProtect 機能における特定の Palo Alto Networks の PAN-OS バージョンに影響するものであり、未認証の攻撃者に任意のファイル作成をトリガーとするコマンド・インジェクションを許し、その結果として root 権限でのコマンド実行にいたる可能があるという。
4月12日に、この脆弱性は Palo Alto Networks により公開され、同社のセキュリティ・アドバイザリでは、提供された緩和策を直ちに適用してパッチを待つよう、システム管理者に対して呼びかけられている。
PAN-OS のバージョンに応じて、2024年4月14日〜18日にパッチは提供され、公開後のリスクにさらされた期間は2日〜6日間となった。テレメトリを無効にするという Palo Alto の緩和策ではデバイスを保護できず、唯一の解決策はセキュリティ・パッチの適用だったことが、その後に明らかにされた。
脆弱性 CVE-2024-3400 を最初に発見した Volexity の研究者たちは、この欠陥を悪用したのは、UTA0218 として追跡されている国家に支援された APT であり、”Upstyle” というカスタム・バックドアで、システムを感染させていたことを明らかにした。
今週の初めに研究者たちは、CVE-2024-3400 の技術的な詳細と PoC エクスプロイトを共有し、認証されていない攻撃者がパッチ未適用のエンドポイント上で、極めて容易に root としてコマンドを実行できることを実証した。
このエクスプロイトが一般に公開されたことで、多数の脅威アクターが独自に攻撃を行うことが可能となり、システム管理者はパッチの適用を遅らせる余地を失うことになった。
Greynoise のスキャナは、脆弱性 CVE-2024-3400 の悪用を試行するユニークな IP アドレスの数が多いことを示し、また、この悪用の増加を警告している。
事態の緊急性にもかかわらず、ShadowServer Foundation の脅威監視サービスによると、2024年4月18日の時点において、”脆弱な可能性” のあるインスタンスは、依然として約 22,500台であるという。
それらの脆弱なデバイスの大半は米国 (9,620台) にあり、それに続くのが、日本 (960台)/インド(890台)/ドイツ(790台)/英国(780台)/カナダ(620台)/オーストラリア(580台)/フランス(500台)などである。
今週の初めに Shadow Server は、156,000台以上の PAN-OS ファイアウォール・インスタンスが、インターネット上に公開されていることを報告した。
先週の金曜日に、脅威研究者である Yutaka Sejiyama は独自のスキャンを実施し、82,000台のファイアウォールを観測したと報告している。この研究者の推定が正確であれば、暴露された PAN-OS システムの約 73%が、1週間以内にパッチを適用したことになる。
Palo Alto のセキュリティ・アドバイザリは、先週から数回にわたって更新されており、新しい情報や不審な動きを探すための指示が追加されている。
Palo Alto の脆弱性 CVE-2024-3400 ですが、第一報は 2024/04/11 の「Palo Alto PAN-OS の脆弱性 CVE-2024-3385 などが FIX:DoS などが生じる恐れ」であり、第二報は 2024/04/17 の「Palo Alto PAN-OS の脆弱性 CVE-2024-3400:いくつかの PoC が登場している」となっています。PoC が出てから、攻撃が活性化しているようなので、ご利用のチームは、ご注意ください。よろしければ、Palo Alto で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.