Palo Alto の脆弱性 CVE-2024-3400：リセット／アップグレード後の永続性に関する PoC

Palo Alto firewalls: CVE-2024-3400 exploitation and PoCs for persistence after resets/upgrades

2024/04/30 HelpNetSecurity — 4月30日に Palo Alto Networks は、同社の PAN-OS の脆弱性 CVE-2024-3400 の PoC (proof-of-concept) に関するアドバイザリを更新した。この PoC は、脆弱性の悪用に成功した攻撃者に、ファイアウォール上での永続化の獲得を可能にするものであり、同社は「現時点においては、これらの永続化テクニックを使用して、脆弱性を積極的に悪用しようとする悪意の試みは、確認されてない。これらのテクニックは、インタラクティブな root レベルのコマンド実行が可能な、すでに侵害されたデバイス上で機能する」と詳述している。

刻々と変化する状況

4月12日に Palo Alto Networks は、インターネットに公開されたファイアウォールに対する、限定的な攻撃について警告するアドバイザリを公開した。

この問題が公開された時点では、攻撃者に悪用された脆弱性は１件だと考えられていた。しかし、その後の Rapid7 の分析により、攻撃者は２種類の脆弱性を連鎖させていたことが判明した。同社は、悪用された脆弱性は、 「CVE が割り当てられていない、GlobalProtect Web サーバにおける任意のファイル作成の脆弱性と、CVE-2024-3400 として特定されている、デバイス・テレメトリ機能におけるコマンド・インジェクションの脆弱性だ」と説明している。

一連の脆弱性情報が公開された以降において Palo Alto Networks は、関連するセキュリティ・アドバイザリと Unit 42 Threat Brief をアップデートし、緩和および修復のための追加アドバイスを発表してきた。

すでにユーザーは、修正プログラムの利用が可能になっている。したがって、緩和策 (脅威防御のアップデート) を実施している場合でも、追加の対策を実施することが推奨されている。

4月18日に Palo Alto は、「この脆弱性を悪用した攻撃が増加している。サードパーティにより、この欠陥の PoC が公開された」と発表した。

続いて 4月20日に、同社は PAN-OS の修正バージョンを再起動する前に、技術サポートファイル (TSF：tech support file) を入手する必要があることを通知した。さらにユーザーに対して、脆弱性に対する既知の悪用の試みと、デバイス・ログの一致の有無を確認するために、TSF を送信するよう求めていた。

4月23日に Unit 42 は、彼らが対応したケースの大半は、脆弱性を悪用する試みに失敗したケースおよび、デバイス上で脆弱性がテストされたケースであると述べた。その他のケースとしては、限定的なコンフィグ・ファイルの流出や、標的となったファイアウォールにおける、きわめて限定的な対話型アクセスの侵害があったという。

Palo Alto のファイアウォールにおける侵入後の永続性

4月25日に Palo Alto は顧客に対して、侵害の各レベルに応じた修復の推奨事項を公開した。さらに 4月30日には、サードパーティ (Nick Wilson など) による、リセットやアップグレードに耐え、侵入後の永続化技術に対応する、PoC の存在を認識していると明らかにした。

これまでの攻撃において、一連の技術が使用されたという兆候はない。しかし、国家に支援される脅威アクターたちは、Ivanti VPN アプライアンスに対する攻撃において、ファームウェアの再起動やアップグレードに耐えるマルウェアを、インストールする方法を発見している。

また、Barracuda Networks の  ESG (Email Security Gateway) アプライアンスの侵害も成功させているため、十分に注意する必要がある。その時の Barracuda は、デバイスの交換を余儀なくされていた。

Palo Alto の脆弱性 CVE-2024-3400 ですが、直近の関連トピックは 2024/04/28 の「Palo Alto の脆弱性 CVE-2024-3400：XMRig 暗号通貨マイニング・マルウェアの展開」となっています。その他に、以下の記事も提供されています。よろしければ、Palo Alto で検索も、ご利用ください。

04/23：Palo Alto の CVE-2024-3400：Siemens 製品に影響
04/19：Palo Alto の CVE-2024-3400：脆弱なデバイス 22,500 台
04/17：脆弱性 CVE-2024-3400：いくつかの PoC が登場している
04/13：CVE-2024-3400：公開の３週間前から Python バックドア