Palo Alto PAN-OS の脆弱性 CVE-2024-8686 などが FIX:不正アクセスなどが生じる恐れ

PAN-OS Vulnerabilities: Command Injection (CVE-2024-8686) and GlobalProtect Exposure (CVE-2024-8687)

2024/09/11 SecurityOnline — 9月12日に Palo Alto Networks が公開した6件のセキュリティ・アドバイザリは、同社製品に発見された複数の脆弱性に対処する、緊急の措置を顧客に促すものだ。これらの脆弱性が悪用されると、不正アクセス/データ漏洩/サービスの中断などを招く可能性が生じる。

先日に公開されたアドバイザリは、Palo Alto Networks の PAN-OS/GlobalProtect/Cortex XDR などに影響を及ぼす、複数の脆弱性に関するものだ。これらの脆弱性の深刻度は様々であり、そのうちの以下の2件は深刻度が High と評価されており、企業のセキュリティ体制に重大なリスクをもたらす可能性を持つ。

  • CVE-2024-8686 (CVSS 8.6):PAN-OS のコマンド・インジェクション脆弱性

この脆弱性は、PAN-OS に影響を与えるものであり、認証済みの攻撃者がシステム制限を回避して、ファイアウォール上のルートとして、任意のコマンド実行を可能にするものだ。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムを完全に制御できるようになり、深刻な侵害につながる可能性が生じる。

CVE-2024-8686 の影響を受けるバージョン:

  • PAN-OS 11.2.3 未満の 11.2
  • Cloud NGFW:影響を受けない
  • Prisma Access:影響を受けない

この脆弱性を緩和するために、ユーザーに対して推奨されるのは、PAN-OS 11.2.3 以降へのアップグレードである。

  • CVE-2024-8687 (CVSS 6.9):GlobalProtect のクリアテキストの露出

この脆弱性は、PAN-OS/GlobalProtect に影響を与えるものであり、GlobalProtect のアンインストール・パスワードや、無効化/切断パスコードなどの、機密情報が公開される恐れがある。この脆弱性の悪用に成功した攻撃者は、設定による許可を必要とせずに、セキュリティ対策の回避と、GlobalProtect のアンインストール/無効化/切断を可能にする。

CVE-2024-8687 の影響を受けるバージョン

  • GlobalProtect App 6.2.1/6.1.2/6.0.7/5.2.13/5.1.12 未満
  • GlobalProtect App 6.3 は影響を受けない

ユーザーに対して推奨されるのは、GlobalProtect を最新バージョンに更新して、悪用を防ぐことである。

緩和策と推奨事項

同日には、下記の4件の脆弱性のアドバイザリも公開された。

  • CVE-2024-8688 (CVSS:6.7)
    PAN-OS の任意のファイル読み取りの脆弱性
  • CVE-2024-8689 (CVSS:6.0)
    ActiveMQ Content Pack の認証情報の平文での漏えい
  • CVE-2024-8690 (CVSS:5.6)
    Cortex XDR Agent のエージェント無効化
  • CVE-2024-8691 (CVSS:5.3)
    PAN-OS のユーザーの成りすまし

これらの脆弱性は、前述の脆弱性ほど深刻ではないが、企業のセキュリティおいて重大なリスクであるため、早急な対処が必要だ。

すでに Palo Alto Networks は、これらの脆弱性を緩和するためのパッチとアップデートをリリースしており、顧客に対して速やかな適用を強く推奨している。また、パッチを直ちに適用できないユーザー向けに、詳細な手順と回避策も提供している。

同社製品を使用している組織は、この勧告を真摯に受け止め、システムのパッチ適用を優先すべきである。これらの脆弱性への対処を怠った場合、データ漏洩/金銭的損失/評判の低下などの、深刻な結果を招く可能性がある。

さらに、パッチの適用だけではなく、定期的なバックアップ/強力なパスワード・ポリシー/多要素認証などの、他のセキュリティ対策も実施すべきである。これらの対策は、脆弱性が悪用された場合でも、攻撃が成功するリスクを最小限に抑えるのに役立つ。

Palo Alto PAN-OS に存在する、複数の脆弱性が公表されました。ご利用のチームは、優先的なパッチ適用を検討してください。なお、このブログにおける PAN-OS の直近の関連記事は、2024/04/17 の「Palo Alto PAN-OS の脆弱性 CVE-2024-3400:いくつかの PoC が登場している」となります。よろしければ、Palo Alto で検索と併せて、ご参照ください。