Palo Alto PAN-OS Firewall Vulnerability Let Attackers Reboot Firewall by Sending Malicious Packet
2025/11/13 CyberSecurityNews — Palo Alto Networks が公表したのは、PAN-OS ファイアウォール・ソフトウェアのソフトウェア・データプレーンに存在する、深刻なサービス拒否 (DoS) の脆弱性の情報である。この脆弱性を悪用する未認証の攻撃者は、細工したパケットを送信することで、リモートからのファイアウォールの再起動を可能にする。この脆弱性 CVE-2025-4619 は、CWE-754 (異常または例外的な状況に対する不適切なチェック) として識別され、ネットワーク・セキュリティのために Palo Alto ファイアウォールを利用している組織に対して、深刻なリスクをもたらすものだ。
この脆弱性を悪用する攻撃者は、認証/資格情報/ユーザー操作を必要としない。そして攻撃に成功すると、悪意のパケットを受信するファイアウォールが想定外の再起動に陥る。
さらに懸念されるのは、繰り返し悪用されることで、ファイアウォールがメンテナンス・モードに強制的に移行される可能性がある点だ。ネットワーク運用に深刻な支障が生じ、ダウンタイム中に組織が脅威にさらされる可能性がある。
| Attribute | Value |
|---|---|
| CVE ID | CVE-2025-4619 |
| Reference | PAN-247099 |
| Vulnerability Type | Denial of Service (DoS) |
| Weakness | CWE-754: Improper Check for Unusual or Exceptional Conditions |
| CVSS v4.0 Score | 6.6 (MEDIUM) |
| CVSS-B Score | 8.7 |
Palo Alto Networks は、この脆弱性を CVSS 4.0 スコア 6.6 と評価し、深刻度と緊急度を Medium と評価している。しかし、CVSS-B スコアは 8.7 に達し、潜在的なビジネスへの影響を反映している。攻撃ベクターはネットワーク・ベースであり、複雑性は低い。
この脆弱性は、製品の可用性に直接影響を及ぼし、重要なネットワーク・インフラを中断させるという。
PA-Series/VM-Series/Prisma Access デプロイメント
この脆弱性は、PAN-OS の脆弱なバージョンを実行している PA Series/VM Series ファイアウォール、および、Prisma Access のデプロイメント環境に影響を及ぼす。ただし、Cloud NGFW は影響を受けない。
脆弱なバージョンは、PAN-OS 10.2 (10.2.13 以下)/11.1 (11.1.6 以下)/11.2 (11.2.4 以下) となる。ただし、PAN-OS 12.1/10.1 は影響を受けない。
重要な点は、この脆弱性の悪用において、特定のコンフィグが必要になることだ。具体的には、標的ファイアウォールにおいて URL プロキシまたは復号化ポリシーが有効化されている必要がある。なお、明示的に復号化禁止ポリシーが設定されていても、この脆弱性が悪用される可能性がある。
Palo Alto Networks が推奨するのは、パッチ適用済みバージョンへのアップグレードである。
PAN-OS 11.2 を利用している場合には、11.2.5 以降へとアップデートする必要がある。
PAN-OS バージョン 11.1 を利用している場合には 11.1.7 へのアップグレードが、10.2 を利用している場合は 10.2.14 へのアップグレードが必要となるが、いずれも、緊急度が高いものとなる。Palo Alto Networks によると、現時点では回避策は存在しないとのことだ。
現時点において Palo Alto Networks は、この脆弱性を悪用する攻撃を確認していない。しかし管理者は、悪用の容易さと運用への影響の可能性を考慮し、パッチ適用を優先する必要がある。
この脆弱性は、PAN-OS のデータプレーンにおける不適切な例外処理が原因で、細工されたパケットを受け取るだけでファイアウォールが再起動してしまうというものです。認証も操作もいらず、条件さえそろえば誰でも攻撃できてしまうという、懸念すべき状況にあります。特に、繰り返し悪用されるとメンテナンス・モードへ移行してしまう可能性があり、ネットワーク全体に影響が広がりやすいところが厄介です。URL プロキシや復号化設定など、特定のコンフィグが有効化されている場合に発生する点も見落としやすく、気づきにくい挙動になると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、PAN-OS で検索を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.