Palo Alto Networks Warns of XSS Flaw with PoC Exploit Code
2025/05/21 SecurityOnline — Palo Alto Networks が発表したのは、PAN-OS ソフトウェアの GlobalProtect ゲートウェイ/ポータル・コンポーネントに影響を及ぼす、反射型クロスサイト・スクリプティング (XSS) の脆弱性 CVE-2025-0133 に関するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した攻撃者は、正規のリンクを装うフィッシング・リンクを作成し、認証済みユーザーのブラウザ上での、悪意の JavaScript 実行の可能性を手にする。デフォルト・コンフィグにおいては、CVSS ベース スコアは 5.1 (Low) であるが、クライアントレス VPN を有効化すると、そのリスクは 6.9 (Medium) へと増加する。
同社のアドバイザリには、「Palo Alto Networks PAN-OS ソフトウェアの、GlobalProtect ゲートウェイ/ポータル機能には、反射型クロスサイト・スクリプティング (XSS) が存在する。この脆弱性が悪用されると、認証済みの Captive Portal ユーザーが、細工されたリンクをクリックする際に、そのブラウザ上で悪意の JavaScript が実行される恐れがある」と記されている。
フィッシング攻撃や認証情報窃取のシナリオにおいて、この脆弱性は最も懸念されるものであり、特にクライアントレス VPN 機能を使用している環境において、その影響は顕著なものとなる。
同社は、「この脆弱性による整合性への影響は、攻撃者の能力に応じて異なるものとなる。具体的に言うと、GlobalProtect ポータルでホストされるように見せかける、フィッシングや認証情報窃取用のリンクを、作成する能力が判断基準となる」と付け加えている。
この脆弱性は、GlobalProtect ゲートウェイ/ポータルが有効化されている、PAN-OS ファイアウォール・コンフィグに対して適応するものだ。影響を受ける PAN-OS のバージョンは、以下のとおりである。
- Cloud NGFW:全バージョン
- PAN-OS 11.2:バージョン 11.2.7 以下
- PAN-OS 11.1:バージョン 11.1.11 以下
- PAN-OS 10.2:バージョン 10.2.17 以下
- PAN-OS 10.1:全バージョン
Prisma Access には、影響が及ばないことに注意してほしい。
現時点において、Palo Alto Networks は、この問題を悪用する攻撃事例を認識していないとのことだ。ただし、この脆弱性を悪用する PoC エクスプロイト・コードの入手は可能である。
解決策は、影響を受けない PAN-OS バージョンへとアップグレードすることだ。
- PAN-OS 11.2:11.2.7 以降へアップグレード (ETA:2025年6月)
- PAN-OS 11.1:11.1.11 以降へアップグレード (ETA:2025年7月)
- PAN-OS 10.2:10.2.17 以降へアップグレード (ETA:2025年8月)
- PAN-OS 10.1:10.2.17 以降へアップグレード (ETA:2025年8月)
なお、PAN-OS 10.1 に関しては、2025年8月に EOL となるため、注意が必要だ。その他の、サポート対象外の PAN-OS バージョンについては、サポート対象内の修正バージョンへのアップグレードが推奨される。
Threat Prevention サブスクリプションを利用するユーザーは、大幅な緩和策を採用できる。脅威 ID 510003/510004 は、この脆弱性を狙う攻撃をブロックできる。すでに、これらの脅威 ID は、Prisma Access で有効化されており、攻撃をブロックできる。
さらに、クライアント・レス VPN の無効化も、この脆弱性の深刻度を軽減する上で、有効な回避策となる。詳細について、Palo Alto Networks が推奨するのは、セキュリティ・アドバイザリ PAN-SA-2025-0005 の確認である。
Palo Alto GlobalProtect の脆弱性 CVE-2025-0133 が修正されましたが、すでに PoC が Github で公開されていることで、悪用の可能性も高まります。ご利用のチームは、アップデートをお急ぎください。よろしければ、Palo Alto で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.