Palo Alto Networks の複数の脆弱性が FIX:組み合わせによる悪用を証明する PoC

Palo Alto Networks warns of firewall hijack bugs with public exploit

2024/10/09 BleepingComputer — 10月9日に Palo Alto Networks は顧客に対して、PAN-OS ファイアウォールの乗っ取りの可能性がある脆弱性に対して、パッチを提供した (PoC もリリース)。この脆弱性は、Checkpoint/Cisco などのベンダーから、コンフィグレーションを移行する際に有益な、Palo Alto Networks の Expedition ソリューションで発見された。これらの脆弱性の悪用に成功した攻撃者は、ユーザー認証情報などの機密データへのアクセスを達成し、ファイアウォール管理者アカウントの乗っ取りへといたる可能性が生じる。

Palo Alto が公開したアドバイザリには、「Palo Alto Networks Expedition に存在する、複数の脆弱性の悪用に成功した攻撃者に許されるのは、Expedition データベースの内容や任意のファイルの読み取りであり、また、Expedition システム上のテンポラリ保存場所への任意のファイルの書き込みである。その対象となるのは、PAN-OS ファイアウォールのユーザー名/平文パスワード/デバイス構成/デバイス API キーなどの情報である」と記されている。

なお、冒頭でのべた複数の脆弱性とは、コマンド・インジェクション/反射型クロスサイト・スクリプティング (XSS)/機密情報の平文保存/認証の欠落/SQL インジェクションなどの脆弱性であり、それらが組み合わされる可能性が生じている:

  • CVE-2024-9463:(認証を必要としないコマンド・インジェクション)
  • CVE-2024-9464:(認証を必要とするコマンド・インジェクション)
  • CVE-2024-9465:(認証を必要としない SQL インジェクション)
  • CVE-2024-9466:(ログに保存された平文による資格情報)
  • CVE-2024-9467:(認証を必要としない反射型 XSS)
提供されている PoC エクスプロイト

上記のバグを発見して報告したのは、Zach​​n3.ai の脆弱性研究者 Zach Hanley であり、7月に公開/修正された脆弱性 CVE-2024-5910 を調査している最中に、3件の脆弱性を発見し、経緯を詳しく説明する記事も公開している。それらの脆弱性の悪用に成功した攻撃者は、Expedition アプリケーションの管理者認証情報をリセットできるという。

Zach Hanley は、脆弱な Expedition サーバで認証を必要とせずに、管理者リセットの脆弱性 CVE-2024-5910 と、コマンド・インジェクションの脆弱性 CVE-2024-9464 を結び付け、任意のコマンド実行を達成するという PoC エクスプロイトをリリースした。ただし、Palo Alto Networks によると、現時点において、これらのセキュリティ上の欠陥が悪用された証拠はないとのことだ。

Palo Alto Networks は、「リストされている、すべての問題の修正は、Expedition バージョン 1.2.96 以降で利用可能である。また、脆弱性 CVE-2024-9466 の影響を受けるとされる、平文の機密情報は、アップグレード中に自動的に削除される」と述べている。

同社は、「Expedition の修正バージョンへとアップグレードした後、すべての Expedition ユーザー名/パスワード/API キーをローテーションする必要がある。Expedition により処理される、すべてのファイアウォール・ユーザー名/パスワード/API キーも、更新後にローテーションする必要がある」と、付け加えている。

今回のセキュリティ・アップデートを直ちに展開できない場合には、Expedition ネットワーク・アクセスを。承認されたユーザー/ホスト/ネットワークだけに制限する必要がある。

最近の Palo Alto だが、2024年3月に APT である UTA0218 に脆弱性を積極的に悪用され、PAN-OS ファイアウォールにバックドアを仕掛けられた。そもため、4月になって、深刻度の高いゼロデイバグに対するホット・フィックスのリリースしている。

Palo Alto の説明によると、現時点で悪用は検出されていないとのことです。ただし、今回の脆弱性 CVE-2024-9466 と、以前の脆弱性 CVE-2024-5910 を連鎖させ、任意のコマンド実行を証明する PoC がリリースされています。ご利用のチームは、十分に ご注意ください。よろしければ、Palo Alto で検索も、ご参照ください。