Palo Alto Networks Firewall Vulnerability Allows an Attacker to Force Firewalls into a Reboot Loop
2026/02/12 CyberSecurityNews — Palo Alto Networks が公表したのは、PAN-OS ソフトウェアに存在する、深刻なサービス拒否 (DoS) の脆弱性に関する情報である。この脆弱性を悪用する未認証の攻撃者は、ファイアウォールを無限再起動ループに陥らせることが可能であり、エンタープライズ・ネットワークを機能不全にする可能性がある。この脆弱性 CVE-2026-0229 は、Advanced DNS Security (ADNS) 機能に潜在する。悪意をもって細工したパケットを送信する攻撃者は、システムの再起動を誘発させる可能性を得る。
Palo Alto Networks は、この問題の詳細についてセキュリティ・アドバイザリで公表している。具体的には、ADNS が有効化されており、スパイウェア・プロファイル が block/sinkhole/alert のいずれかに設定されている PAN-OS バージョンのみが、影響を受けると述べている。
この脆弱性の反復的な悪用により、ファイアウォールはメンテナンス・モードに強制移行し、ユーザー組織におけるトラフィック検査は停止する。ただし、Cloud NGFW および Prisma Access は影響を受けないことが判明している。
影響を受けるバージョンと修正バージョン
| Product | Affected Versions | Fixed Versions |
|---|---|---|
| PAN-OS 12.1 | < 12.1.4 (specifically 12.1.2–12.1.3) | ≥ 12.1.4 |
| PAN-OS 11.2 | < 11.2.10 (11.2.0–11.2.9) | ≥ 11.2.10 |
| PAN-OS 11.1 | None | All |
| PAN-OS 10.2 | None | All |
| Cloud NGFW | None | All |
| Prisma Access | None | All |
すべての管理者に対して Palo Alto が強く要請するのは、脆弱なシステムを直ちにアップグレードすることである。サポート対象外の旧式 PAN-OS バージョンについては、修正済みリリースへと移行すべきである。この脆弱性に対する回避策は存在しない。また、この脆弱性の特性により、Threat Prevention シグネチャでの悪用の検出は不可能である。
現時点の実環境では、悪用は確認されていないと Palo Alto は報告している。しかし、セキュリティ専門家たちは、高トラフィック環境におけるリスクを警告している。この種の DoS 脆弱性が他の攻撃と連鎖する場合には、重大な障害へと波及し得る。境界防御に Palo Alto を依存している組織は、このパッチ適用を最優先とすべきである。
ADNS を有効化したファイアウォールは、DNS ベースの脅威に対する重要な防御線を形成するものだ。そのため、悪意のドメインを遮断しているエンタープライズにとって、この脆弱性は特に懸念されるものとなる。管理者にとって必要なことは、コンフィグの検証と、Palo Alto のサポート・ポータルを介した未修正システムのスキャンである。
Palo Alto Networks の PAN-OS に、サービス停止を引き起こす深刻な脆弱性が発見されました。この問題の原因は、PAN-OS の高度な DNS 保護機能 (ADNS) において、受信した DNS パケットを処理する際の検証の不備にあります。攻撃者が特別に細工した DNS パケットを送信すると、ADNS を構成するプロセスが予期しない動作を起こし、システムの再起動が誘発されます。ご利用のチームは、ご注意ください。よろしければ、PAN-OS での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.