Analysis & PoC Exploits Released for Palo Alto Zero-Days – CVE-2024-0012 and CVE-2024-9474
2024/11/19 SecurityOnline — 最近の大きな話題である、Palo Alto Networks の Next-Generation Firewalls (NGFW) に影響を及ぼす、2件のゼロデイ脆弱性の技術的な詳細が、watchTowr のセキュリティ研究者である Sonny により明らかにされた。この CVE-2024-0012/CVE-2024-9474 については、米国の CISA などのサイバー・セキュリティ機関も注目している。CISA では、この2つの脆弱性を KEV カタログに追加し、連邦政府機関に対しては、12月9日までにパッチを適用するよう指示している。
脆弱性 CVE-2024-0012 は、PAN-OS の管理 Web インターフェイスに存在する、認証バイパス脆弱性である。
この脆弱性の悪用に成功したリモート攻撃者は、認証を必要とせずに管理権限でのアクセスを取得できると、watchTowr の Sonny は分析している。そのアプローチは、Nginx コンフィグ・ファイルの綿密な調査から始まっている。
彼は、「主要な Nginx ルート設定 “/etc/nginx/conf/locations.conf” を見ると、かなり限定的だが影響が大きいと思われる変更が明らかになった」と説明している。
add_header Allow "GET, HEAD, POST, PUT, DELETE, OPTIONS";
if ($request_method !~ ^(GET|HEAD|POST|PUT|DELETE|OPTIONS)$) {
return 405;
}
+proxy_set_header X-Real-IP "";
+proxy_set_header X-Real-Scheme "";
+proxy_set_header X-Real-Port "";
+proxy_set_header X-Real-Server-IP "";
+proxy_set_header X-Forwarded-For "";
+proxy_set_header X-pan-ndpp-mode "";
+proxy_set_header Proxy "";
+proxy_set_header X-pan-AuthCheck 'on';
# rewrite_log on;
# static ones
@@ -27,6 +17,5 @@ location /nginx_status {
location ~ \.js\.map$ {
add_header Cache-Control "no-cache; no-store";
proxy_pass_header Authorization;
+ include conf/proxy_default.conf;
proxy_pass http://$gohost$gohostExt;
}
彼が気づいたのは、パッチ未適用バージョンでは “X-PAN-AUTHCHECK” ヘッダーが正しく設定されておらず、保護されているはずのエンドポイントへの、不正アクセスが許される可能性が生じることだ。
この見落としを突くかたちで、単純だが壊滅的な回避策が見つけ出された。X-PAN-AUTHCHECK HTTP ヘッダーを OFF に設定することで、認証を完全に無効化できるのだ。
2つ目の脆弱性 CVE-2024-9474 だが、それを悪用する PAN-OS 管理者は権限を昇格させ、ルート・アクセスでコマンドを実行できるようになる。この脆弱性は AuditLog.php ファイルに存在するものであり、ユーザー入力に対する不適切なサニタイズにより、コマンド・インジェクションが引き起こされるものである。
この研究者は、監査ログの書き込みを担う関数にある、重要な変更点を特定した。そして、この脆弱性を悪用するかたちで、細工されたペイロードが権限を昇格する方法を示している。彼は、「何らかの方法で、シェル・メタ文字を含むユーザー名を、ユーザーから AuditLog.write() 関数に渡すことが可能であり、その値は pexecute() に渡される」と述べている。
Sonny が指摘するのは、このエクスプロイト・チェーンの単純さであり、管理者に対して迅速な対応を促している。彼は、「これらの2つの脆弱性が、実稼働アプライアンスに侵入し、Palo Alto アプライアンスの裏に潜む大量のシェル・スクリプトを呼び出すことで、驚くべきことが許可されたことになる」と述べている。
watchTowr は、完全な PoC エクスプロイトのリリースを一時的に控え、管理者がパッチを適用する時間を確保している。また、それぞれのシステムにおける、脆弱性の有無をチェックするための Nuclei テンプレートを提供している。
その一方で、セキュリティ研究者である Valentin Lobstein も、CVE-2024-0012/CVE-2024-9474 の PoC エクスプロイト・コードを開発/提供し、そのエクスプロイトが容易であることを示している。watchTowr による分析を活用する、Lobstein の Go ベースのツールは、攻撃プロセスを自動化するため、ターゲット URL を入力するだけで済む。この簡単に入手できるエクスプロイトにより、攻撃の増加に関する懸念が引き起こされている。つまり、脆弱なシステムに対して、パッチを当てる緊急性が強調されることになる。
すでに Palo Alto Networks は、PAN-OS バージョン 10.2.12-h2 をリリースし、これらの脆弱性に対処している。
CISA KEV:Palo Alto Networks:CVE-2024-0012/CVE-2024-9474
この Palo Alto の脆弱性 CVE-2024-0012/CVE-2024-9474 を連鎖させることで、甚大な被害が生じる恐れがあるようです。また、PoC エクスプロイトも提供されていますので、対応が急がれます。11月21日付で、CISA KEV にも登録されました。よろしければ、2024/11/08 の「Palo Alto PAN-OS の RCE 脆弱性:PAN-SA-2024-0015/CVE-2024-0012」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.