Palo Alto GlobalProtect App の脆弱性 CVE-2024-5921 が FIX:PoC も公開

Palo Alto Networks Warns of GlobalProtect App Flaw with Public Exploit Code (CVE-2024-5921)

2024/11/25 SecurityOnline — Palo Alto Networks が公開したのは、GlobalProtect App の脆弱性 CVE-2024-5921 に関するセキュリティ勧告である。この脆弱性の悪用に成功した攻撃者は、エンドポイントに悪意のソフトウェアをインストールする可能性を得る。この脆弱性 CVE-2024-5921 は、不十分な証明書の検証に起因するものであり、任意のサーバへの GlobalProtect App の接続を、攻撃者に許す可能性も生じるという。それにより攻撃者は、エンドポイントに悪意のルート証明書をインストールし、その証明書で署名された悪意のソフトウェアのインストールを可能にする。

Palo Alto は、「GlobalProtect App における、証明書に対する不十分な検証の脆弱性により、任意のサーバへの GlobalProtect App の接続を、攻撃者は可能にする」と述べている。

脆弱性 CVE-2024-5921 の影響を受ける、製品およびバージョンは下記の通りだ:

  • GlobalProtect App on Windows:6.3/6.2.6 未満/6.1/6.0/5.1
  • GlobalProtect App on macOS/Linux:6.2
  • GlobalProtect UWP App on Windows

現時点において、Palo Alto Networks は、この脆弱性を悪用した攻撃について認識していないと述べている。しかし、同社は、この脆弱性 CVE-2024-5921 について言及する、カンファレンス講演/ブログ投稿を認識しているという。

※訳者注記:reddit への投稿

すでに、Palo Alto Networks は、GlobalProtect App 6.2.6 以降/GlobalProtect App on Windows 6.2 をリリースし、この脆弱性を修正している。その一方で同社は、GlobalProtect App の FIPS-CC モードでの使用を推奨し、他のバージョンのアプリにおける、この問題の軽減を図っている。

それに加えて Palo Alto は、厳格な証明書検証を強制するための、インストール・パラメータを提供している:

  • 事前展開キー FULLCHAINCERTVERIFY を [yes] に設定し、GlobalProtect をインストールする:
    msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY=”yes”
  • 証明書検証用の証明書をロードするための、証明書ストア/証明書ストア内の場所を指定する場合には、以下のパラメータを使用して GlobalProtect をインストールする:
    msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY=”yes” CERTSTORE=”machine” CERTLOCATION=”ROOT”
  • CERTSTORE の有効なオプションは、[machine  (推奨) ] /[user] である。
    Valid options for CERTLOCATION are “ROOT” (recommended), “MY,” “trusted publisher,” “ca,” “truest,” “authroot,” “smartcardroot,” and “userds.”

CERTSTORE/CERTLOCATION の、いずれも選択されていない場合には、GlobalProtect App のデフォルトにより、マシン・ストアのルートから証明書が読み込まれる。

この脆弱性の悪用に成功した攻撃者は、エンドポイントを完全に制御する可能性を手にするため、深刻なセキュリティ・リスクが生じる。GlobalProtect App を使用する組織にとって必要なことは、アプリの最新バージョンのインストールや、FIPS-CC モードの有効化などの、リスク軽減策を直ちに講じることである。

Palo Alto – GlobalProtect App の脆弱性が FIX しました。証明書の管理に関するバグですので、ご利用のチームは、ご注意ください。なお、タイトルだけにある “PoC” 表記ですが、ググってみたところ、GitHub の AmberWolfCyber/NachoVPN に、その対象として CVE-2024-5921 が記載されていました。よろしければ、Palo Alto で検索も、ご参照ください。