CISA KEV 警告 24/11/14:Palo Alto Expedition の脆弱性 CVE-2024-9463/9465 を登録

U.S. CISA adds Palo Alto Networks Expedition bugs to its Known Exploited Vulnerabilities catalog

2024/11/15 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Palo Alto Networks Expedition に存在する2件の脆弱性をKEV (Known Exploited Vulnerabilities) カタログに追加した。

  • CVE-2024-9463Palo Alto Networks Expedition の OS コマンド・インジェクション脆弱性
  • CVE-2024-9465Palo Alto Networks Expedition の SQLインジェクション脆弱性

先月に Palo Alto Networks は、複数の脆弱性に関するセキュリティ・アドバイザリをリリースしており、それらの脆弱性を連鎖させることで、PAN-OS ファイアウォールの乗っ取りが可能になると警告している。

これらの脆弱性は、Check Point/Cisco などの他のファイアウォール・プラットフォームから、Palo Alto の PAN-OS への構成の移行を支援するツールである、Palo Alto Networks Expedition に存在する。

同社のアドバイザリには、「Palo Alto Networks Expedition に存在する、複数の脆弱性の悪用に成功した攻撃者は、Expedition データベースの内容や、任意のファイルの読み取りを可能にする。さらに、Expedition システム上の一時的な保存場所に、任意のファイルを書き込むことも可能となる。これらの脆弱性を組み合わせることで、PAN-OS ファイアウォールのユーザー名/平文パスワード/デバイス構成/デバイス API キーなどの、機密情報が攻撃者に奪われる可能性が生じる」と記されている。

また、この脆弱性の悪用に成功した攻撃者は、ユーザー認証情報などの機密データにアクセスし、ファイアウォール管理者のアカウントを乗っ取る可能性も手にする。

Palo Alto が対処した、Expedition の脆弱性は下記の通りだ:

  • CVE-2024-9463 (CVSS 9.9): コマンド・インジェクションの脆弱性。悪用に成功した未認証の攻撃者は、root として OS コマンドの実行を達成し、PAN-OS ファイアウォールのユーザー名/パスワード/構成/API キーなどを不正に取得できる。
  • CVE-2024-9464 (CVSS 9.3):認証済みの OS コマンド・インジェクション脆弱性。攻撃者に root アクセスを許し、CVE-2024-9463 と同様に、データ露出につながる可能性がある。
  • CVE-2024-9465 (CVSS 9.2):SQL インジェクションの脆弱性。認証されていない攻撃者が、パスワード・ハッシュやデバイス構成などのデータベース・コンテンツにアクセスし、システム上でのファイルの Read/Write を可能にする。
  • CVE-2024-9466 (CVSS 8.2):機密情報の平文保存の脆弱性。認証済みの攻撃者が、機密情報へのアクセスを達成し、ファイアウォールのユーザー名/パスワード/API キーが平文で保存されていることを検知する。
  • CVE-2024-9467 (CVSS 7.0):反射型 XSS の脆弱性。認証済みユーザーのブラウザ上で、悪意の JavaScript が実行され、フィッシング攻撃やセッション窃取の可能性につながる。

これらの脆弱性は、Expedition バージョン 1.2.96 未満に影響を及ぼす。

2924年7月の時点で Horizon3 の研究者たちは、Expedition の脆弱性 CVE-2024-5910 の調査中に、脆弱性 CVE-2024-9464/CVE-2024-9465/CVE-2024-9466 を発見した。

彼らは、管理者リセットの脆弱性 CVE-2024-5910 と、認証なしのコマンド実行の脆弱性 CVE-2024-9464 を連鎖させる、PoC エクスプロイト・コードと、IOC (indicators of compromise) を公開した。

すでに Palo Alto は、これらの脆弱性に対する回避策と緩和策を提供している。同社が推奨するのは、Expedition へのネットワーク・アクセスを、承認されたユーザーとホストに制限することだ。CVE-2024-9465 について推奨するのは、Expedition システム内で mysql -uroot -p -D pandb -e "SELECT * FROM cronjobs;"というコマンドを実行し、潜在的な侵害の有無を確認することだ。レコードが返された場合には、潜在的な侵害の可能性が示唆されるが、レコードが返されない場合であっても、安全であるとは限らない。

これらの脆弱性を悪用する攻撃が、実環境で発生していることについて、Palo Alto は認識していないと述べている。

拘束力のある運用指令 (BOD 22-01) に基づき、CISA は連邦政府機関に対して、脆弱な Palo Alto Networks Expedition を、12月5日までに保護するよう求めている。

専門家たちは、民間組織に対しても、KEV カタログを検証し、インフラの脆弱性に対処することを推奨している。

Palo Alto Networks Expedition の脆弱性が CISA KEV に登録されました。文中で Palo Alto は、攻撃について認識していないと述べていますが、CISA KEV に登録されたということは、米国の連邦政府内での悪用が発見されたということです。ご利用のチームは、ご注意ください。よろしければ、2024/10/09 の「Palo Alto Networks の複数の脆弱性が FIX:組み合わせによる悪用を証明する PoC」をご参照ください。