CISA Issues Warning Over Palo Alto PAN-OS Flaw Enabling Root-Level Access
2026/05/07 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Palo Alto Networks の PAN-OS に存在する深刻な脆弱性 CVE-2026-0300 について緊急警告を発出し、2026年5月6日に KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を悪用する未認証ユーザーは、完全なシステム制御を可能にするため、連邦機関には 2026年5月9日までの対策の完了が指示されている。
Palo Alto PAN-OS の脆弱性
この境界外書き込みの脆弱性 CVE-2026-0300 (CWE-787) は、PAN-OS の User-ID Authentication Portal (Captive Portal サービス) に存在し、想定されたメモリ領域の境界を超えた書き込みを引き起こす。
攻撃者は、細工されたパケットをポータルに送信することでメモリ破壊を引き起こし、OS に不正な命令を実行させることが可能となる。この脆弱性の悪用においては事前認証が一切必要とされないため、リモート攻撃者によるインターネット経由の攻撃が可能になる。
現時点でランサムウェア攻撃との関連性は確認されていないが、深刻度が非常に高いため即時対応が求められる。また、現時点では公式パッチが未提供であるため、暫定的な対策が不可欠となる。
CISA が管理者に対して強く推奨するのは、User-ID Authentication Portal へのアクセスを、信頼された内部ネットワークのみに制限することだ。業務上不要な場合は、Captive Portal 機能を完全に無効化することが最も安全な対策である。
連邦機関には、5月9日までの 3日間での対応が法的に義務付けられているが、民間企業においても、同様の迅速な対応が求められる。
訳者後書:数多くの企業のネットワーク境界を守る Palo Alto Networks のファイアウォール (PAN-OS) に見つかった、きわめて緊急性の高い脆弱性 CVE-2026-0300 が CISA KEV カタログに登録されました。問題の原因は、ユーザー認証を行うための Authentication Portal において、送られてきたデータの長さを正しく確認せずに処理してしまう、境界外書き込みの不備にあります。すでに実際の攻撃が確認されており、CISA は 3日間という短期間での対策完了を命じています。現時点では修正パッチが提供されていないため、認証画面をインターネットから見えないように制限したり、機能を無効化したりする暫定的な対策が、被害を防ぐために不可欠な状況です。よろしければ、2026/05/06 の「Palo Alto Firewall の脆弱性 CVE-2026-0300:確認された悪用とパッチ提供までの緊急対応」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.