2025/02/19 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Palo Alto PAN-OS の認証バイパスの欠陥 CVE-2025-0108 と、SonicWall SonicOS SSLVPN の不適切な認証の欠陥 CVE-2024-53704 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
先日に公開された Palo Alto Networks PAN-OSファイアウォールの脆弱性 CVE-2025-0108 は、脅威アクターたちに悪用されていると、研究者が警告している。
Shadowserver Foundation の研究者らは、2024年2月13日午前4時 (UTC) 以降において、CVE-2025-0108 悪用の複数の試みをハニーポットで観察している。専門家たちによると、19 の IP から悪意のトラフィックが発信されているが、最近に公開された PoC エクスプロイト・コードが悪用されているという。
サイバーセキュリティ企業 GreyNoise も、この欠陥を悪用する脅威アクターたちの活動を確認している。GreyNoise は、「CVE-2025-0108 のアクティブなエクスプロイトを確認している。PAN-OS ファイアウォールに依存している組織は、パッチ未適用のデバイスが標的になっていると想定し、保護のための措置を直ちに講じる必要がある」と述べている。
Palo Alto Networks が公開したアドバイザリには、「Palo Alto Networks PAN-OS ソフトウェアの認証バイパスにより、管理 Web インターフェイスへのネットワーク・アクセス権を持つ未認証の攻撃者は、PAN-OS 管理 Web インターフェイスの認証をバイパスし、特定の PHP スクリプトを呼び出すことが可能である。これらの PHP スクリプトを呼び出しても、リモート・コード実行は許可されないが、PAN-OS の整合性と機密性に悪影響を与える可能性がある」と記されている。
同社は、この管理インターフェイスが、インターネットまたは信頼できないネットワークから直接にアクセスできるケースと、管理プロファイルを持つデータプレーン・インターフェイス経由でアクセスできるケースで、リスクが高くなると警告している。悪用のリスクを最小限に抑えるために、そのアクセスを、信頼できる内部 IP アドレスだけに制限することが推奨されている。
この脆弱性に対処しているのは、以下のバージョンである。
| Versions | Affected | Unaffected |
|---|---|---|
| Cloud NGFW | None | All |
| PAN-OS 11.2 | < 11.2.4-h4 | >= 11.2.4-h4 |
| PAN-OS 11.1 | < 11.1.6-h1 | >= 11.1.6-h1 |
| PAN-OS 10.2 | < 10.2.13-h3 | >= 10.2.13-h3 |
| PAN-OS 10.1 | < 10.1.14-h9 | >= 10.1.14-h9 |
| Prisma Access | None | All |
この脆弱性を発見した、サイバー・セキュリティ会社 Assetnote が、問題の詳細な分析結果を公開している。同社の研究者たちは、この欠陥を悪用する攻撃者たちが、ファイアウォール・コンフィグを取り込んでいる脆弱なデバイスから、データを抽出できることを実証した。
Assetnote によると、脆弱性 CVE-2025-0108 を悪用する攻撃者は、PAN-OS ファイアウォールの不適切な URL デコードを悪用し、認証を回避しているとのことだ。この問題の根本的な原因は、Nginx と Apache がエンコードされたパスを異なる方法で処理している点にある。その結果として、ディレクトリ・トラバーサルや PHP スクリプトの不正実行につながることだ。Nginx は特定のパスの認証を無効化するため、攻撃者は認証情報を必要とせずに PAN-OS 管理インターフェースにアクセスし、認証を完全に回避しているという。
Assetnote が公開したレポートには、「私たちが調査したのは、通常とは異なる振る舞いで第2層を通過するリクエストが、その後に、プロキシにより強制的に認証されるという、疑わしいアーキテクチャである。基本的に、この種のアーキテクチャは、ヘッダー・スマグリングやパスの混乱などを引き起こし、数多くの深刻なバグにつながる可能性を持つ」と記されている。
その一方で、2025年1月の初旬に SonicWall は、認証バイパスの脆弱性 CVE-2024-53704 (CVSS:8.2) を修正するために、ファイアウォールの SonicOS ファームウェアをアップグレードするよう顧客に促している。この脆弱性は、SSL VPN/SSH 管理に存在し、実際に悪用される可能性があると、同社は指摘している。
SonicWall からユーザーへの通知には、「SSL VPN/SSH 管理を有効化しているケースで、実際に悪用される可能性のある、ファイアウォールの脆弱性 CVE-2024-53704 (CVSS:8.2) を特定した。2025年1月7日に Web で公開予定の、最新のファームウェアへのアップグレードにより、この脆弱性を直ちに緩和する必要がある」と記されていた。
同社は、「すべてのセキュリティ・アドバイザリのリストと、関連する脆弱性のリストが提供されている。繰り返しになるが、このアップグレードは、SSL VPN ユーザーが遭遇する深刻な脆弱性に対処するものであり、差し迫った悪用リスクがあると見なされている。したがって、直ちに更新する必要がある」と警告していた。
拘束力のある運用指令 (BOD) 22-01: KEV に記載される脆弱性の重大なリスクを軽減するために、FCEB 機関は期限までに、特定された脆弱性に対処する必要がある。CISA は連邦政府機関に対して、2025年3月11日までに、この脆弱性を修正するよう命じている。
さらに、専門家たちが推奨するのは、このカタログを民間組織も確認し、インフラの脆弱性に対処することである。
Palo Alto PAN-OS の脆弱性 CVE-2025-0108 と、SonicWall SonicOS SSLVPN の脆弱性 CVE-2024-53704 が、CISA KEV に登録されました。ご利用のチームは、アップデートを忘れないよう、お気をつけください。よろしければ、CISA KEV ページと併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.