Palo Alto PAN-OS GlobalProtect の脆弱性 CVE-2024-3400 が標的:スキャンの急増と PoC の公開

Hackers Actively Probe Palo Alto PAN-OS GlobalProtect Vulnerability for Exploitation

2025/09/30 gbhackers — Palo Alto Networks PAN-OS に存在する、深刻な GlobalProtect 脆弱性 CVE-2024-3400 の影響を受けるシステムを狙う、脅威アクターによるスキャン活動が、インターネット全体で急増している。GlobalProtect ポータルのファイル・アップロード・エンドポイントを標的とする、IP アドレス “141.98.82.26” からのアクセスが、このファイアウォール上でのセッション・ファイルの取得と悪用を試みていたことが、SANS ISC のセキュリティ研究者により確認されている。

この脆弱性の悪用は、2段階の手順で行われる。1つ目は、細工したセッション ID を取り込んだ POST リクエストの、”/ssl-vpn/hipreport.esp” への送信による、GlobalProtect ディレクトリでのファイル作成である。2つ目は、そのファイルパスに対する GET リクエストの送信である。

その結果として、サーバが 403 ステータスで応答した場合には、コード実行は行われないが、ファイルの存在が確認され、アップロードが成功したと判断される。実際の攻撃における攻撃者が、この結果をコマンド実行が可能な場所へと連鎖させ、ファイアウォールの root 権限を不正に取得する可能性がある。

CVE IDDescriptionCVSS 4.0 ScoreAffected PAN-OS Versions
CVE-2024-3400Arbitrary file creation leading to OS command injection10.010.2 (<10.2.0-h3 to <10.2.9-h1)
11.0 (<11.0.0-h3 to <11.0.4-h1)
11.1 (<11.1.0-h3 to <11.1.2-h3)

この脆弱性が影響を及ぼす範囲は、GlobalProtect ポータル/ゲートウェイにおけるコンフィグを伴う、PAN-OS 10.2/11.0/11.1 となる。なお、Cloud NGFW/Panorama/Prisma Access は影響を受けないという。

この脆弱性 CVE-2024-3400 (CVSS 4.0:10.0) に対する、Palo Alto Networks の評価は緊急度 HIGHEST であるため、即時の対応が必要である。

さらに、PoC エクスプロイト・コードが公開されており、永続化手法も確認されているため、パッチ未適用の環境では、さらにリスクが高まっている。

スキャン活動が急増し、PoC エクスプロイト・コードの試行も検知されているが、現状では、それ以外の広範な攻撃は確認されていない。

しかし、自動化が容易であり、認証が不要であることに加えて、ネットワーク経由でのアクセスが可能な脆弱性であることから、日和見的な攻撃者や自動化ボットネットの格好の標的となっている。

すでに Palo Alto Networks は、PAN-OS 10.2.9-h1/11.0.4-h1/11.1.2-h3 により、修正プログラムを公開している。また、他のメンテナンス・リリース向けにも、複数の無償ホットフィックスを提供している。

ユーザーに対して強く推奨されるのは、直ちにアップグレードを実施することである。また、脅威防止 (Threat Prevention) サブスクリプションを契約する組織は、シグネチャ 95187/95189/95191 を適用することで、GlobalProtect インターフェイスへの攻撃試行をブロックできる。

なお、デバイス・テレメトリの無効化は、もはや有効な緩和策とはみなされない。したがって、パッチを適用するまでの間は、GlobalProtect エンドポイントを監視し、”hipreport.esp” および “/global-protect/portal/images/” への、異常な POST/GET リクエストを検知すべきである。

ネットワーク侵入検知システムにおいては、異常なユーザー・エージェントや反復する 404/403 応答パターンに対して、警告を発する必要がある。

また、完全に侵害されたデバイスについては、Palo Alto Networks カスタマー・サポートを通じて、工場出荷時設定へのリセット手順を入手できる。

現状では、広範なスキャンが実施され、PoC エクスプロイトが公開されているため、ユーザー組織にとって必要なことは、この脆弱性を最大限の緊急性をもって取り扱い、システム全体への侵害を防ぐことだ。新たな悪用の試みに対する必須の防御策として挙げられるのは、継続的な監視/タイムリーなパッチ適用/脅威防止シグネチャの導入である。

GlobalProtect のファイル・アップロード処理で、入力やファイルパスの検証が不十分であり、公開されたエンドポイントを介して、認証を必要としない任意のファイル作成が可能になっています。作成されたセッション・ファイルを起点にして、コマンド実行へと連鎖が可能だと示唆されています。PoC の公開やスキャン自動化が追い打ちをかけており、影響範囲が広がりやすい状況にあると、この記事は指摘しています。よろしければ、CVE-2024-3400 で検索も、ご参照ください。