Palo Alto PAN-OS の RCE 脆弱性:PAN-SA-2024-0015/CVE-2024-0012

Palo Alto Networks warns of potential PAN-OS RCE vulnerability

2024/11/08 BleepingComputer — 今日、Palo Alto Networks が顧客に対して公表したのは、PAN-OS の管理インターフェイスに存在するリモート・コード実行の脆弱性 PAN-SA-2024-0015 に対処するために、Next-Generation Firewalls (NGFW) へのアクセスの制限を促す警告である。同社は、11月8日 (金) に公開したセキュリティ勧告の時点で、このセキュリティ上の欠陥に関する追加情報は入手しておらず、アクティブな悪用の兆候は検出されていないと付け加えていた。

訳者注記:2024/11/18 付で CVE-2024-0012 が採番される

Palo Alto Networks は、「PAN-OS 管理インターフェースを介したリモート・コード実行の脆弱性に関する報告を認識している。現時点において、申し立てられた脆弱性については詳細を把握していない。悪用の兆候について、積極的に監視している。ユーザーに対して強く推奨するのは、弊社のベスト・プラクティスの導入ガイドラインに従って、管理インターフェースへのアクセスが正しくコンフィグされていることの確認である」と述べている。

さらに同社は、「ASM モジュールを使用している Cortex Xpanse/Cortex XSIAM ユーザーは、Palo Alto Networks ファイアウォール管理者ログイン攻撃対象領域ルールから生成されたアラートを確認することで、インターネットに公開されているインスタンスを調査できる」と付け加えている。

同社がユーザーに提供するアドバイスは、ファイアウォールの PAN-OS 管理インターフェースへの、インターネットからのアクセスをブロックし、信頼できる内部 IP アドレスからの接続だけを許可すべきというものだ。

Palo Alto Networks のコミュニティ Web サイトに掲載された別のサポート・ドキュメントによると、管理者は管理インターフェースの露出を減らすための、以下の対策が推奨されている。

  • 管理インターフェースを専用の管理 VLAN に分離する。
  • ジャンプ・サーバを介して mgt IP にアクセスする。それによりユーザーは、Firewall/Panorama にログインする前に、ジャンプ・サーバで認証して接続することになる。
  • mgt インターフェースへの受信 IP アドレスを、承認された管理デバイスのみに制限する。それにより、予期しない IP アドレスからのアクセスを防ぎ、すれに盗み出された資格情報によるアクセスを防ぐことが可能になり、攻撃対象領域が削減される。
  • SSH/HTTPS などの、セキュリティで保護された通信のみを許可する。
  • インターフェイスへの接続をテストする際には、PING のみを許可する。
攻撃で悪用される重大な認証不足の脆弱性

11月7日 (木) には CISA が、Palo Alto Networks Expedition の深刻な認証不足の脆弱性 CVE-2024-5910 を悪用する、進行中の攻撃について警告している。このセキュリティの脆弱性は 2024年7 月に修正されているが、それをリモートから悪用する脅威アクターたちは、インターネットに公開されている Expedition サーバ上の、アプリケーション管理者の資格情報をリセットできるという。

これらの攻撃について、CISA は詳細を明らかにしていないが、2024年10月に Horizon3.ai の脆弱性研究者 Zach Hanley が、PoC エクスプロイトを公開している。この PoC は、コマンド・インジェクションの脆弱性 CVE-2024-9464 と連鎖させることで、脆弱な Expedition サーバ上で認証を必要としない任意のコマンド実行を引き起こすものである。

同じく 10 月に Palo Alto Networks が対処した、他のセキュリティ上の欠陥と CVE-2024-9464 を連鎖させることで、脅威アクターによる管理者アカウントの乗っ取りや、PAN-OS ファイアウォールのハイジャックが生じるとされる。

CISA は、CVE-2024-5910 を、脆弱性カタログに KEV 追加し、連邦政府機関に対しては、3週間の猶予期間となる 11月28日までに、システムを攻撃から保護するよう命じた。

同組織は、「これらのタイプの脆弱性は、悪意のあるサイバー攻撃者たちが、頻繁に攻撃に用いるベクターであり、連邦政府機関に対しても深刻なリスクをもたらす」と警告している。

Palo Alto Networks の脆弱性ですが、同社による悪用に関する報告は、まだ曖昧なものですが、CISA などの情報を合わせると、かなり深刻な状況にあると推測されます。さらに、PoC エクスプロイトの提供や、他の脆弱性との連鎖など、不安な材料が沢山あります。よろしければ、2024/11/07 の「Palo Alto Expedition の脆弱性 CVE-2024-5910:連鎖により認証情報をリセット:CISA KEV にも登録」も、ご参照ください。