CVE-2024-3393: PAN-OS Vulnerability Now Exploited in the Wild
2024/12/26 SecurityOnline — Palo Alto Networks が発行したのは、PAN-OS の DNS セキュリティ機能の重大な脆弱性に対処する、セキュリティ・アドバイザリである。この CVE-2024-3393 (CVSS:8.7) は、深刻度 High に分類されている。この脆弱性の悪用に成功した未認証の攻撃者は、ファイアウォールの動作を妨害し、メンテナンス・モードの適応を強制できまる。
Palo Alto のアドバイザリによると、特別に細工された悪意のパケットが、ファイア・ウォールのデータ ・プレーンを介して送信されたときに、この脆弱性は発生するという。それにより、ファイアウォールの再起動の状態がトリガーされ、サービス拒否 (DoS) 状態になる。Palo Alto Networks は、「この状態を繰り返しトリガーすることで、ファイアウォールはメンテナンス・モードに入ってしまう」と説明している。
この脆弱性は、PAN-OS の以下のバージョンに影響を及ぼす:
- PAN-OS 11.2:バージョン 11.2.3 未満
- PAN-OS 11.1:バージョン 11.1.5 未満
- PAN-OS 10.2:バージョン 10.2.10-h12 未満/10.2.13-h2 未満
- PAN-OS 10.1:バージョン 10.1.14-h8
なお、PAN-OS 11.0 に関しては、サポート終了 (EOL) に達しているため、修正プログラムは提供されない。
Palo Alto Networks は、この問題を悪用する悪意の DNS パケットを、ファイアウォールがブロックするとで DoS 状態に陥るという、顧客の事例を確認している。ただし、同社は、悪用の範囲や関与した攻撃者について具体的な詳細を明らかにしていない。
脆弱性 CVE-2024-3393 は、PAN-OS の以下のバージョンで対処されている:
- PAN-OS 11.2.3
- PAN-OS 11.1.5
- PAN-OS 10.2.10-h12
- PAN-OS 10.2.13-h2
- PAN-OS 10.1.14-h8
このアドバイザリが推奨するのは、上記のバージョン以降へとシステムをアップグレードし、リスクを軽減することだ。Prisma Access ユーザーに対しては、リクエストに応じた迅速な対応を実現するため、アップグレードは段階的に実施される。
なお、速やかな修正が不能な組織対しては、Palo Alto Networks は DNS セキュリティ・ログの無効化を推奨している。具体的に言うと、Objects → Security Profiles → Anti-spyware → DNS Policies → DNS Security へと移動し、すべてのカテゴリに対する Log Severity を “none” 変更することで実行できる。ただし、このアドバイザリが強調するのは、正攻法のアップグレードと適用した後に、この設定を元に戻し、完全な機能を回復する方式である。
Palo Alto Networks は、「脆弱な PAN-OS バージョンを実行しているファイアウォールが、応答しないケースや、想定外の再起動を行うケースにおいて、すぐに修正を適用できない場合に限って、回避策を適用してほしい」とアドバイスしている。
Palo Alto PAN-OS の脆弱性 CVE-2024-3393 が FIX しましたが、その一方では、積極的な DoS 攻撃が観測されているようです。なお、PAN-OS 11.0 に関しては、サポート終了 (EOL) であるため、アップデートの対象外になるとのことです。ご利用のチームは、ご注意ください。よろしければ、Palo Alto PAN-OS で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.