CISA warns of critical Palo Alto Networks bug exploited in attacks
2024/11/07 BleepingComputer — 11月7日に CISA が警告したのは、Palo Alto Expedition に存在する認証欠落の脆弱性 CVE-2024-5910 が攻撃者に悪用されるという内容であり、また、この脆弱性を KEV (Known Exploited Vulnerabilities) カタログに登録したというものである。この Palo Alto Expedition は、Checkpoint や Cisco から PAN-OS へ向けた移行ツールであり、それらのファイアウォール・コンフィグレーションを変換するものである。
この脆弱性 CVE-2024-5910 に対しては、7月にパッチが適用されている。しかし、攻撃者たちは、この脆弱性をリモートから悪用することで、インターネットに露出する Expedition サーバ上の、アプリケーション管理者の認証情報をリセットしているという。
CISA は、「Palo Alto Expedition には認証情報の欠落という脆弱性があり、ネットワークからアクセスできる攻撃者が Expedition 管理アカウントを乗っ取り、コンフィグレーションに取り込まれた機密情報や認証情報などのデータに、アクセスする可能性を手にしている」と述べている。
現時点において同機関は、これらの攻撃に関する詳細を提供していない。その一方で、2024年10月にパッチが適用された、Expedition のコマンド・インジェクション脆弱性 CVE-2024-9464 と、この脆弱性 CVE-2024-5910 を連鎖させ、悪用を可能にするシナリオが実証されている。
Horizon3.ai の脆弱性研究者の Zach Hanley から、2024年10月に公開された PoC エクスプロイト・コードが実証するのは、これらの脆弱性を連鎖させることで、脆弱な Expedition サーバ上で認証を必要とせず、任意のコマンド実行を可能にするというシナリオである。
さらに、脆弱性 CVE-2024-9464 は、同じく 10月に修正されている他の脆弱性と連鎖することで、ファイアウォール管理アカウントの乗っ取りや、PAN-OS ファイアウォールのハイジャックも許すという。
これらの攻撃をブロックするためのセキュリティ・アップデートを、直ちにインストールできないケースで推奨されるのは、Expedition ネットワークへのアクセスを、認証済みのユーザー/ホスト/ネットワークに制限することだ。
Palo Alto は、「Expedition の修正版にアップグレードした後に必要なことは、Expedition の全ユーザー名/パスワード/API キーの変更と、Expedition で処理される全ファイアウォールのユーザー名/パスワード/API キーの変更である」と警告している。
現時点で Palo Alto は、いまも継続中の CVE-2024-5910 攻撃について、セキュリティ・アドバイザリを更新していない。
2021年11月に発行された拘束力のある運用指令 (BOD 22-01) に基づき、CISA は連邦政府機関に対して、脆弱な Palo Alto Networks Expedition サーバを、3週間以内 (11月28日まで) に攻撃から保護するよう求めている。CISA は、「この種の脆弱性は、サイバー犯罪者による攻撃の対象となりやすく、連邦政府機関にとって重大なリスクをもたらす」と警告している。
Palo Alto Expedition の脆弱性 CVE-2024-5910 ですが、他の脆弱性との連鎖により、被害を生み出しているようです。ご利用のチームは、ご注意ください。この脆弱性に関する第一報は、2024/07/10 の「Palo Alto Networks Expedition の深刻な脆弱性 CVE-2024-5910:情報漏えいの恐れ」です。よろしければ、Palo Alto Expedition で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.