Siemens Industrial Product Impacted by Exploited Palo Alto Firewall Vulnerability
2024/04/23 SecurityWeek — 最近に公表された Palo Alto ファイアウォールの脆弱性 CVE-2024-3400 は、遅くとも1ヶ月前から攻撃で悪用されており、 Siemens の産業用製品の1つに影響が生じたことが判明した。4月19日に公開したアドバイザリで Siemens は、Palo Alto の NGFW (Next-Generation Firewall) でコンフィグレーションされた、同社の Ruggedcom APE1808 デバイスが、CVE-2024-3400 の影響を受けている可能性があることを明らかにした。
Siemens は、影響を受ける製品のアップデートを準備しており、当面の対応として回避策と緩和策を提供している。Ruggedcom APE1808 産業用アプリケーション・ホスティング・プラットフォームは、過酷な産業環境におけるエッジ・コンピューティング、サイバーセキュリティのための市販アプリケーションの導入を可能にする。
そして脆弱性 CVE-2024-3400 は、 Palo Alto がパッチや緩和策をリリースする前のゼロデイも含めて、悪用が確認されている。しかし Siemens は、自社製品を標的とした攻撃については言及していない。
Siemens の APE1808 には、 Palo Alto/Fortinet/Nozomi Networks などの、複数のベンダーが提供するセキュリティ・ソリューションが統合されている。先日に Siemens は顧客に対して、これらのセキュリティ・ソリューションの脆弱性に関するアドバイザリを公開した。
Shadowserver Foundation は、CVE-2024-3400 を悪用する攻撃の対象として、脆弱な Palo Alto のファイアウォールの台数を追跡しており、その最新のデータでは、約 6,000 台のインターネットに露出したデバイスが検出されている。
この脆弱性の悪用に成功した、認証されていない攻撃者は、侵害 したファイアウォール上で権限を昇格させ、任意のコマンドを実行することが可能になる。この脆弱性の悪用は、先週に PoC コードが公開された後から急増している。
最初に発見された、このゼロデイを悪用するグループは、国家支援の脅威アクターであると考えられているが、彼らが関連している国については不明である。ある企業は、これは北朝鮮の Lazarus であると推測しているが、この主張は裏付けが取れていない。
サイバーセキュリティ企業の Volexity が、3月26日の時点で把握しているのは、攻撃者がハッキングしたファイアウォールを介して内部ネットワークに侵入し、データを流出させる攻撃を行っていることだ。同社によると、攻撃者がバックドアを展開していたケースもあったという。
Palo Alto の脆弱性 CVE-2024-3400 ですが、Siemens の製品群に影響が及んだようです。 これまでの、関連記事は以下のとおりです。早く収束してほしいです。よろしければ、Palo Alto で検索も、ご利用ください。
04/19:CVE-2024-3400:脆弱なデバイス 22,500 台がインターネット公開
04/17:Palo Alto PAN-OS の CVE-2024-3400:いくつかの PoC が登場
04/13:Palo Alto の CVE-2024-3400:公開の3週間前からバックドア
IoT OT Security News 
You must be logged in to post a comment.