CISA Warns of Actively Exploited Palo Alto Firewall Flaw (CVE-2024-3393)
2024/12/30 SecurityOnline — 12月30日 に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Palo Alto Networks の PAN-OS に影響を及ぼす、脆弱性 CVE-2024-3393 を KEV カタログに追加した。この深刻な脆弱性の悪用に成功したリモートの攻撃者は、ファイアウォール保護機能の無効化を達成し、さらなるネットワーク侵害を引き起こす可能性を手にする。
この脆弱性は PAN-OS の DNSセキュリティ機能に存在し、影響を受けるデバイスに対して、未認証の攻撃者が悪意のパケットを送信することで引き起こされる。この悪用が成功すると、ファイアウォールの再起動を余儀なくされ、ネットワーク・セキュリティが中断される。さらに、攻撃が繰り返されると、デバイスがメンテナンス・モードに切り替わってしまう。正常な動作を復元するには、手動での操作が必要になる場合もある。
Palo Alto Networks のアドバイザリによると、「PAN-OS ソフトウェアの DNS セキュリティ機能に、DoS の脆弱性が発見された。この脆弱性の悪用に成功した未認証の攻撃者は、ファイアウォールのデータ・プレーンを介して悪意のパケットを送信し、ファイアウォールを再起動させる可能性を手にする」と説明している。
同社は、脆弱性 CVE-2024-3393 が実際に悪用されていると認めている。この脆弱性を悪用した攻撃により、顧客におけるサービス停止が余儀なくされたという。
脆弱なバージョン
この脆弱性は、PAN-OS バージョン 10.1/10.2/11.0/11.1/11.2 に影響を及ぼす。ただし PAN-OS 11.0 に関しては、すでにサポート終了となっているため、パッチは提供されない。
ユーザーへの推奨事項
すでに Palo Alto Networks は、サポートの対象となる PAN-OS バージョンへ向けて、パッチをリリースしている。ユーザー組織に対して推奨されるのは、サポート対象のバージョンへと、速やかにアップグレードすることだ。
- PAN-OS 10.1.14-h8
- PAN-OS 10.2.10-h12
- PAN-OS 11.1.5
- PAN-OS 11.2.3
迅速なパッチ適用が難しいユーザーに対しては、Palo Alto Networks から緩和策と回避策が提供されている。
連邦政府文民行政部 (FCEB) の各機関は、潜在的な脅威からネットワークを保護するために、2025年1月20日までにパッチを適用する必要がある。CISA の措置が強調するのは、この脆弱性の深刻さと、すべての組織における対策の緊急性である。
Palo Alto PAN-OS の脆弱性 CVE-2024-3393 ですが、第一報は 2024/12/26 の「Palo Alto PAN-OS の脆弱性 CVE-2024-3393 が FIX:積極的な DoS 攻撃を観測」となっています。その時点から、DoS 攻撃の標的にされており、数日後には CISAの KEV に登録となりました。ご利用のチームは、十分に ご注意ください。よろしければ、PAN-OS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.