Palo Alto Networks PAN-OS の脆弱性 CVE-2025-4230 が FIX:コマンド・インジェクションと root 実行

Palo Alto Networks PAN-OS Vulnerability Let Attacker Run Arbitrary Commands as Root User

2025/06/12 CyberSecurityNews — Palo Alto Networks の PAN-OS に発見されたコマンド・インジェクションの脆弱性は、世界中の企業のファイアウォール・インフラに対して、重大なセキュリティ・リスクをもたらすものだ。この脆弱性 CVE-2025-4230 により、CLI にアクセスできる認証済みの管理者であれば、ルート・レベル権限で任意のコマンド実行が可能になるため、ネットワーク・セキュリティ全体が侵害される恐れが生じる。

2025年6月11日に公開された、セキュリティ・アドバイザリが浮き彫りにするのは、高度な攻撃ベクターに対する堅牢なシステム整合性を維持していく上で、ネットワーク・セキュリティ・ベンダーが直面する継続的な課題である。

PAN-OS 管理者によるコマンド・インジェクション

脆弱性 CVE-2025-4230 は、OS コマンドで使用される特殊要素の不適切な無効化 (CWE-78) の典型的な例であり、一般には OS コマンド・インジェクションとして知られるものだ。

このセキュリティ上の欠陥により、PAN-OS CLI インターフェイス内の不十分な入力検証を悪用する攻撃者は、システム制限を回避して権限を昇格させ、不正なコマンドを実行できるようになる。

この手口は、Mitre CAPEC-248 攻撃パターン (Command Injection) に倣ったものであり、ユーザー入力に対する不適切なサニタイズを突く攻撃者が、システム・コールに悪意のコマンドを挿入するというものだ。

この脆弱性を悪用する前提として、PAN-OS CLI への認証された管理者アクセスが必要となる。この制約により、攻撃対象領域は大幅に制限されるが、複数の管理者ユーザーを抱える組織にとっては排除が難しいリスクとなる。

特別に細工された文字/シーケンスを取り込むコマンドを、悪意の管理者が入力すると、基盤となる OS のコンテキストでコマンドを実行する前に行われるべき、これらの要素の適切な無効化が欠落してしまう。

この根本的な脆弱性を悪用する攻撃者は、コマンドの追加や、既存のコマンド・パラメータの変更などを達成し、システムへの不正アクセスを可能にする。

この脆弱性の発見は Visa Inc. によるものであり、重要インフラの脆弱性を特定する上で、民間部門のセキュリティ研究が果たす重要な役割を実証している。

Risk FactorsDetails
Affected ProductsPAN-OS 11.2 versions prior to 11.2.6, PAN-OS 11.1 versions before 11.1.10, PAN-OS 10.2 versions earlier than 10.2.14, and PAN-OS 10.1 versions before 10.1.14-h15
ImpactAuthenticated admin CLI users can execute arbitrary root-level commands
Exploit Prerequisites– Valid administrator credentials- CLI access
CVSS 3.1 Score5.7 (Medium)
影響を受けるシステム

この脆弱性は、多様なリリース・ブランチにまたがる、複数の PAN-OS バージョンに影響を及ぼすが、以下のバージョンに対しては、早急な対応が必要となっている。

  • PAN-OS 11.2:11.2.6 未満
  • PAN-OS 11.1:11.1.10 未満
  • PAN-OS 10.2:10.2.14 未満
  • PAN-OS 10.1:10.1.14-h15 未満

Common Vulnerability Scoring System (CVSS) による評価では、この脆弱性の基本スコアは 5.7 であり、深刻度は Medium と分類されている。

CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U/R:U/V:D/U:Amber

上記の CVSS 文字列が示すのは、攻撃ベクターはローカル/攻撃の複雑さは低い/高権限が必要であり、機密性/整合性/可用性への影響は大きい。

ただし、Palo Alto Networks の Cloud NGFW/Prisma Access プラットフォームは、今回の脆弱性の影響を受けていない。それが示唆するのは、これらのクラウド・ベースの製品においては、異なるアーキテクチャ実装や、追加のセキュリティ制御が採用されていることである。

Palo Alto は、システムの脆弱性とコンフィグレーションの関係を否定している。したがって、デフォルトのインストールでも悪用される可能性があると強調している。

対策

すでに Palo Alto Networks は、影響を受ける全製品ラインにおいて、このコマンド・インジェクションの脆弱性を修正したパッチ版をリリースしている。ユーザー組織にとって必要なことは、現時点で導入されているバージョンに応じて、PAN-OS 11.2.6/11.1.10/10.2.14/10.1.14-h15 へと、速やかにアップグレードすることだ。

同社は、回避策や緩和策は存在しないとしている。したがって、直ちにパッチを適用することが、唯一の有効な手段となる。

Palo Alto Networks は、この脆弱性を悪用する活動は報告されていないと述べているが、緊急度 Medium と分類されていることから、組織は対策を優先すべきである。

管理者アクセスを制限することで、この脆弱性のセキュリティ・リスクが大幅に軽減されると、Palo Alto Networks は指摘している。したがって、セキュリティ・チームは、CLI アクセスを最小限にするための制御を実装すべきである。

認証済みの管理者による、PAN-OS CLI でのコマンド・インジェクションの脆弱性 CVE-2025-4230 が発見されました。Mitre CAPEC-248 に該当する脆弱性であり、入力サニタイズの甘さという、基本的な設計ミスに起因するようです。ご利用のチームは、ご注意ください。よろしければ、PAN-OS で検索も、ご参照ください。