Palo Alto Networks User-ID Credential Agent の脆弱性 CVE-2025-4235 が FIX:平文パスワード漏洩の恐れ

Palo Alto Networks User-ID Agent Flaw Leaks Passwords in Cleartext

2025/09/11 gbhackers — Windows システム上の Palo Alto Networks User-ID Credential Agent で、新たな脆弱性が発見された。デフォルト以外の特定のコンフィグにおいて、この脆弱性 CVE-2025-4235 (CVSS:4.2) が悪用されると、サービス・アカウントのパスワードが平文で漏洩する可能性がある。Palo Alto Networks は 2025年9月10日に詳細とガイダンスを公開し、アップグレードまたは緩和策の適用をユーザーに推奨し、権限昇格やサービス中断のリスクを回避するよう促している。

脆弱性の概要

User-ID Credential Agent は、サービス・アカウントの認証情報を収集/管理し、Active Directory ユーザーのマッピングをファイアウォール・ポリシーに統合するものだ。ただし、非特権ドメイン・ユーザーであっても、特定のカスタム・コンフィグ下では、エージェントのファイルやメモリから、サービス・アカウントのパスワードを平文でダイレクトに取得できてしまう。

FieldDescription
CVE IdentifierCVE-2025-4235
Severity4.2 (Medium)
UrgencyModerate

したがって、CVE-2025-4235 を悪用する攻撃者は、エージェント・サービスをアンインストールまたは無効化し、認証情報フィルターに依存するネットワーク・セキュリティ・ポリシーを侵害することで、アカウント権限に応じた権限昇格を可能にする。

この脆弱性が影響を及ぼす範囲は、Windows 版 User-ID Credential Agent のバージョン 11.0.3 未満となる。具体的には、11.0.2-133~11.0.3 未満のバージョンが対象である。

前述のサービス・アカウントが、サーバ・オペレータやドメイン参加などのロールを保持している場合に、脅威アクターが攻撃に成功すると、平文の認証情報を悪用するサーバ制御/不正なコンピュータ・オブジェクトの作成/ネットワーク偵察などの可能性が生じると、Palo Alto Networks は認識している。

CVE-2025-4235 の悪用により、以下のような影響が生じる可能性がある:

  • 低権限のアカウントの攻撃者であっても、認証情報エージェントの動作を妨害し、フィッシング防止機能の無効化や、URL フィルタリング・ポリシーの弱体化を招く可能性がある。
  • 昇格されたサービス・アカウントを悪用する攻撃者は、ドメイン・コントローラを制御し、シャットダウン/再起動/ドメイン操作などの可能性を手にする。
  • ネットワーク・ポリシーの適用が回避/弱体化されると、横方向移動や偵察活動のリスクが増大するとされる。

現時点において、実環境での悪用事例は報告されておらず、エクスプロイトの成熟度も未確認である。

攻撃ベクターはローカルに限定されるが、低複雑性とユーザー操作不要という特性により、この脆弱性は内部脅威アクターや侵害済みホストにとって魅力的である。ローカル・アクセスが前提のため、自動化されたエクスプロイト・ツールは登場しないだろうが、復旧にはシステム上でのユーザー・レベルの手動操作が必要になる。

緩和策と推奨アクション

Palo Alto Networks は CVE-2025-4235 への対応として、以下の手順を推奨している。

  • User-ID Credential Agent 11.0.3 以上を実行しているシステムには、脆弱なコードが含まれないため、対策は不要である。
  • Windows 版の 11.0.0/11.0.2-133 未満を実行しているシステムは、11.0.3 以上にアップグレードする必要がある。

上記アップグレードまたは強化策を適用することで、組織は平文パスワードの漏洩を防ぎ、ファイアウォール・ポリシーと Active Directory の整合性を維持できる。さらに、サービス・アカウントの権限を継続的に確認し、最小権限の原則を遵守することで、同様の脆弱性による権限昇格リスクを軽減できる。

Palo Alto Networks の User-ID Credential Agent に、新たに脆弱性が見つかりました。この問題の原因は、特定のカスタム・コンフィグ下で、サービス・アカウントのパスワードが平文のまま保存/参照できてしまう点にあります。通常は守られるべき認証情報ですが、非特権ユーザーであっても取得可能になるため、権限昇格やネットワーク制御の危険につながります。攻撃ベクターがローカルに限定されていますが、内部から悪用されやすい点も特徴的であり、無視できないリスクだと、この記事は指摘しています。ご利用のユーザーさんは、ご注意ください。よろしければ、Palo Alto で検索も、ご参照ください。