Palo Alto – Expedition Tool の複数の脆弱性が FIX:バージョン 1.2.101 未満は EoL

Mutiple Vulnerabilities Found in Palo Alto Networks Expedition Tool

2025/01/08 SecurityOnline — Palo Alto Networks が発行したのは、Expedition 移行ツールに存在する複数の脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性を悪用する攻撃者は、機密データの漏洩を達成し、影響を受けるシステム上での不正な操作の可能性を手にする。Expedition (旧称 Migration Tool) は、Palo Alto Networks の NGFW (next-generation firewall) プラットフォームへの移行を支援するために設計された、無料のユーティリティである。

このツールにより、ポリシーの最適化とデバイス・コンフィグが容易になるが、2024 年12月31 日をもって EoL を迎えている。このアドバイザリが強調するのは、Expedition が実稼働環境向けではないことであり、ユーザーに対して代替案を検討するよう促している。

このアドバイザリでは、いくつかの脆弱性が特定されている。これらの脆弱性の一部には、ユーザー名/パスワード/デバイス・コンフィグ構成などの機密データへの、攻撃者によるアクセスを許すものもある。具体的に言うと、以下の問題が生じる恐れがある。

  • SQL インジェクション:CVE-2025-0103 (CVSS:7.8):Expedition ツールの欠陥により、認証された攻撃者は、パスワード・ハッシュやデバイス API キーなどのデータベース・コンテンツへのアクセスを手にする。この脆弱性により、システム上で任意のファイルの作成/読取りが可能になり、機密コンフィグ・データの侵害が生じることで深刻なリスクにいたると、Palo Alto Networks は説明している。
  • 反射型クロスサイト・スクリプティング (XSS):CVE-2025-0104 (CVSS:4.7):この脆弱性を悪用する攻撃者は、細工されたリンクをクリックするようにユーザーを誘導し、ブラウザー内で悪意の JavaScript を実行する可能性を手にする。それにより、フィッシング攻撃やセッション盗難にいたる可能性がある。
  • 任意のファイル削除:CVE-2025-0105 (CVSS:2.7):www-data ユーザーがアクセスするファイル対して、認証されていない攻撃者による削除が可能となり、重要な機能を妨害される恐れが生じる、CVSS としての評価は低いが、特定の環境では影響が拡大する可能性がある。
  • OS コマンド・インジェクション:CVE-2025-0107 (CVSS:2.3):この脆弱性を悪用する認証済みの攻撃者により、がホスト上での任意の OS コマンドを実行が達成され、PAN-OS ファイアウォールの平文パスワード/ユーザー名/API キーの暴露へといたる恐れがある。
  • ワイルドカード表現の列挙:CVE-2025-0106:この脆弱性を悪用する攻撃者は、ホスト・システム上のファイルを列挙し、メタデータを公開して、その後の攻撃を容易にする可能性を手にする。

一連の脆弱性は、Expedition のバージョン 1.2.101 未満に影響を及ぼす。ただし、PAN-OS/Prisma Access/Cloud NGFW などの、Palo Alto Networks 製品は影響を受けない。

Expedition ツールが EoL ステータスであるため、このツールからの移行を、Palo Alto Networks は強く推奨している。現時点で Expedition を使用している組織に対しては、以下の対策が推奨される:

  • アップデートの適用:Expedition バージョン 1.2.101 以降にアップグレードし、これらの脆弱性に対処する。
  • アクセスの制限:このツールへのアクスを、承認されたユーザー/ホスト/ネットワークだけに制限する。
  • アイドル時のシャットダウン:侵害を最小限に抑えるため、アクティブに使用していないときには、Expedition を完全に無効化する。

なお、これらの脆弱性の悪用については、現時点で報告されていないという。ユーザー組織に対して強く推奨されるのは、Palo Alto Networks からのサポート終了の通知を確認し、緩和策または移行計画を遅滞なく実施することである。

Palo Alto の Expedition に複数の脆弱性です。EoL の表記がありますが、バージョン 1.2.101 未満/以降の表記もあり、ちょっと分かり難いです。ご利用のチームは、ご注意ください。こうして、CVE-2025-0103 〜 CVE-2025-0106 がズラッと並ぶと、新しい年になったのだと実感しますね。よろしければ、Palo Alto + Expedition で検索も、ご参照ください。