Palo Alto PAN-OS の脆弱性 CVE-2025-4231 が FIX:ルート権限によるコマンド・インジェクションの恐れ

Palo Alto Networks PAN-OS Vulnerability Enables Admin to Execute Root User Actions

2025/06/12 CyberSecurityNews — Palo Alto Networks PAN-OS に存在する、深刻なコマンド・インジェクション脆弱性により、権限を昇格した認証済みの管理ユーザーが、ルート・ユーザーとしてコマンドを実行する可能性が生じている。この脆弱性 CVE-2025-4231 の深刻度は Medium レベルであるが、同社のファイアウォール OS の複数バージョンに影響を及ぼす。管理インターフェイスが、信頼できないネットワークに公開されている場合には、重大なセキュリティ・リスクがもたらされるという。

この脆弱性が浮き彫りにするのは、ネットワーク・インフラス・コンポーネントの、セキュリティ確保における継続的な課題と、管理インターフェイスへの適切なアクセス制御の重要性である。なお、この脆弱性を発見したのは、セキュリティ研究者の spcnvdr である

PAN-OS Web インターフェイスの脆弱性

脆弱性 CVE-2025-4231 は、コマンドで使用される特殊要素の不適切な無効化 (CWE-77) に分類される、典型的なコマンド・インジェクションの欠陥である。

このセキュリティ上の弱点を悪用する攻撃者は、PAN-OS 管理 Web インターフェイスに任意のコマンドを挿入し、その後にルート・レベルの権限で、それらのコマンドを実行できる。

この脆弱性の深刻度は、CVSS v4.0 ベース・スコアで 6.1 Medium とされるが、システム全体の侵害につながる可能性があるため、実用上の重要性は高まっている。

なお、この攻撃の前提条件としては、管理 Web インターフェイスへのネットワーク・アクセスと、管理者の資格情報が​​必要となる。

これらの条件が満たされると、この脆弱性は低複雑度の攻撃で悪用され、ユーザーの操作も不要となる。そのため、管理アクセス制御が不十分な環境では、きわめて危険なものとなる。

Mitre の CAPEC-233 権限昇格パターンは、システム制御の完全な足掛かりとして、正当な管理者アクセスを悪用する攻撃手法を詳細に説明している。

技術分析の結果として明らかになったのは、この脆弱性が Web 管理インターフェイスの入力検証の不備に起因しており、特別に細工されたコマンドがセキュリティ制御を回避し、昇格された権限での実行に至ることである。

このコマンド・インジェクションは、ユーザーが入力した情報が、適切なサニタイズ処理なしに処理されたときに発生するものだ。したがって、悪意のあるコマンドを追加する攻撃者により騙されたシステムが、それらのコマンドを、正当な管理操作の一部として解釈/実行するようになる。

Risk FactorsDetails
Affected ProductsPAN-OS 10.1 (all versions), PAN-OS 10.2 (versions 10.2.0 through 10.2.7), and PAN-OS 11.0 (versions 11.0.0 through 11.0.2)
ImpactPrivilege escalation
Exploit Prerequisites1. Network access to management interface 2. Valid admin credentials 3. Exposure of management interface to untrusted networks
CVSS 4.0 Score6.1 (Medium)

この脆弱性は、PAN-OS の特定バージョンに影響を及ぼすが、最も深刻な影響を受けるものは、以下のとおりである:

  • PAN-OS 10.1 (全バージョン)
  • PAN-OS 10.2 (バージョン10.2.0~10.2.7)
  • PAN-OS 11.0 (バージョン11.0.0~11.0.2)

これらの、プラットフォームを利用する組織が懸念すべき点は、ネットワーク攻撃ベクターを介したリモートからの攻撃が、この脆弱性により可能になるため、インターネットに接続された管理インターフェイスを持つ組織が、最も高いリスクにさらされることである。

なお、PAN-OS 11.1/PAN-OS 11.2/Cloud NGFW/Prisma Access は、この脆弱性の影響を受けないとされる。

緩和策

速やかな修復においては、パッチ適用済みのバージョンへのアップグレードが不可欠である。具体的にいうと、PAN-OS 11.0 ブランチの場合は 11.0.3 以降が、10.2 ブランチの場合は 10.2.8 以降が必要になる。

PAN-OS 10.1 を実行しているケースでは、10.1 ブランチにはダイレクトに適用できるパッチが存在しないため、10.2.8/11.0.3 以降のバージョンへと、アップグレードする必要がある。また、EoL バージョンをインストールしている場合には、サポート対象であるパッチ適用済みのリリースへと、速やかに移行する必要がある。

重要とされる導入ガイドラインで強調されるのは、管理インターフェイスのへのアクセスを、信頼できる内部 IP アドレスのみに制限することである。

この緩和戦略は、外部の脅威アクターによる、脆弱な管理インターフェイスのへのアクセスを防ぐことで、攻撃対象領域を大幅に縮小するものだ。

ユーザー組織にとって必要なことは、厳密に制御されたネットワーク・アクセスを持つ、特定のシステムからのみ、管理アクセスが行われる、ジャンプ・ボックス・アーキテクチャの実装である。

さらに、パッチ適用済みバージョンへのアップグレードという、主要な修復戦略を補完する、階層化されたセキュリティ・アプローチが、ネットワーク・セグメンテーション/アクセス制御リスト/VPN ベースの管理アクセスにより提供される。

この PAN-OS の脆弱性 CVE-2025-4231 は、典型的なコマンド・インジェクションを引き起こすものと説明されています。さらに、管理者権限を持つユーザーによる、ルート権限奪取を可能になるという、とても深刻なものです。ご利用のチームは、ご注意ください。よろしければ、PAN-OS で検索も、ご参照ください。