最終更新日時:Fri, 12 Apr 2024 20:46:10 GMT
Palo Alto Networks は4月12日(金)、同社のファイアウォールで動作するオペレーティングシステム PAN-OS の複数のバージョンに存在する CVSS 10 のゼロデイ脆弱性 CVE-2024-3400 に関するアドバイザリを公開しました。ベンダーアドバイザリによると、この脆弱性が悪用可能な条件を満たした場合、未認証の攻撃者がファイアウォールのルート権限で任意のコードを実行できる可能性があると指摘しています。この脆弱性には現在パッチが適用されていません。パッチは2024年4月14日(日)までに提供される予定です。
注:Palo Alto Networksのユーザーは、PAN-OS 10.2、PAN-OS 11.0、および/またはPAN-OS 11.1のファイアウォールを使用しており、GlobalProtectゲートウェイとデバイスのテレメトリの両方の設定が有効になっている場合にのみ脆弱性があります。
Palo Alto Networksのアドバイザリによると、CVE-2024-3400は「限られた数の攻撃」で悪用されています。同社は、この脆弱性に最高の緊急度を与えています。Palo Alto Networks は、攻撃の範囲、侵害の指標、および敵の行動観察に関する詳細なブログを公開しています。ぜひご覧ください。ゼロデイ脆弱性を発見したセキュリティ企業Volexityも、広範な分析、侵害の指標、および観察された攻撃者の行動について、こちらのブログを公開しています。
緩和ガイダンス
CVE-2024-3400は、4月12日(金)現在、パッチが適用されておらず、GlobalProtectゲートウェイおよびデバイスのテレメトリが有効な場合、PAN-OSの以下のバージョンに影響します:
Palo Alto NetworksのCloud NGFWおよびPrisma Accessソリューションは影響を受けません。また、以前のバージョンのPAN-OS(10.1、10.0、9.1、9.0)も影響を受けません。詳細および最新の修正ガイダンスについては、パロアルトネットワークスのアドバイザリを参照してください。
同社は、PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、およびPAN-OS 11.1.2-h3のホットフィックスリリースを4月14日までにリリースし、「それ以降のすべてのPAN-OSバージョン」のホットフィックスもリリースする予定であることを明らかにしているとのことです。
Rapid7 では、ベンダーが提供する以下の緩和策のいずれかを直ちに適用することを推奨します:
また、Palo Alto NetworksのブログやVolexityのブログで侵害の指標を確認することをお勧めします。
Rapid7のお客様
本日4月12日(金)のコンテンツリリースより、InsightVMおよびNexposeのお客様に認証済み脆弱性チェックを提供いたします。
ベンダーアドバイザリによると、脆弱性のあるファイアウォールを実行している組織で、その環境で悪用される可能性を懸念している場合は、パロアルトネットワークスのサポートケースを開き、デバイスのログがこの脆弱性の既知の侵害指標(IoC)と一致するかどうかを確認することができます。
更新情報
2024年4月12日(金):Volexityブログへのリンクを更新しました。VMのコンテンツが利用できるように更新しました。
※本ブログは英語版ブログ "CVE-2024-3400: Critical Command Injection Vulnerability in Palo Alto Networks Firewalls" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。