1. 概要

 Palo Alto Networks社製品に搭載されている「PAN-OS」で、深刻な脆弱性(CVE-2024-3400)が存在することが報告されました。この脆弱性の悪用はすでに確認されており、4月13日にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。
 本脆弱性のCVSS v4.0のベーススコアは10.0(Critical)と極めて高いため、GlobalProtect機能が構成されているシステムにおいては、Palo Alto Networks社より案内のある対策を実施することが推奨されています。

 

2. 脆弱性情報詳細

(1)攻撃概要
 PAN-OSには、リモートアクセス(VPN))などを提供できるGlobalProtect機能があります。このPAN-OSのGlobalProtect機能において、OSコマンドインジェクションの脆弱性が確認されています。OSコマンドインジェクションの脆弱性(CWE-77)とは、信頼できないソースからアプリケーションにコマンドを入力し、コマンドを実行させることにより、攻撃者に他の方法では与えられない特権又は機能を与える脆弱性です。
 本脆弱性を悪用されると、認証されていない遠隔の第三者がルート権限で任意のコードを実行する可能性があります。
 下記の影響を受けるシステムおよびバージョンは、GlobalProtect機能が構成されている場合に本脆弱性の影響を受けます。

(2)影響を受けるシステムおよびバージョン
- PAN-OS 11.1:11.1.2-h3より前のバージョン
- PAN-OS 11.0:11.0.4-h1より前のバージョン
- PAN-OS 10.2:10.2.9-h1より前のバージョン

 ※4月15日時点では「GlobalProtect機能が構成されており、デバイステレメトリ機能が有効な場合に影響を受ける」とご案内していましたが、4月17日の公式案内が更新され、デバイステレメトリ機能が無効な場合でも本脆弱性の対象となりました。

(3)対策
 すでに本脆弱性の悪用を試みる通信が確認されていることから、影響を受けるシステムおよびバージョンを利用している場合、速やかな対応が必要です。4月15日以降、Palo Alto Networks社から脆弱性に対応する修正バージョンが順次公開されておりますので、案内に沿ってアップグレードを実施してください。
 即時のアップグレードが行えない場合の軽減策として、GlobalProtectインターフェイスに脆弱性保護を適用することが挙げられます。

(4)軽減策
 以前は回避策としてデバイステレメトリ機能の無効化を挙げておりました、4月17日の公式案内の更新によりデバイステレメトリ機能の無効化は、本脆弱性に対して有効な対策ではなくなりました。
 その他にGlobalProtectインターフェイスへの脆弱性保護の適用が案内されていますので、脅威 ID 95187 および 95189のシグネチャが有効な脆弱性保護セキュリティプロファイルを GlobalProtect インターフェイスに適用してください。詳細な手順については下記をご参照ください。
 なおThreat Preventionライセンスをお持ちでない場合はこの軽減策は実施いただけませんので、速やかにアップグレードを実施いただく事を強く推奨します。

・Palo Alto Networks
GlobalProtect インターフェイスへの脆弱性保護の適用, 2024年4月17日閲覧
https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184

 

3. まとめ

 本記事では、Palo Alto Networks社製品に搭載されているPAN-OSにおける最新の脆弱性(CVE-2024-3400)について詳細と対策を紹介いたしました。すでに当該脆弱性の悪用が確認されているため、当該製品をご利用の場合は速やかにPalo Alto Networks社より案内のある対策を実施することを推奨いたします。

 

4. 参考情報

・JPCERT/CC
Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起, 2024年4月17日閲覧
https://www.jpcert.or.jp/at/2024/at240009.html

・Palo Alto Networks
CVE-2024-3400 PAN-OS: GlobalProtect Gateway のOSコマンドインジェクションの脆弱性, 2024年4月17日閲覧
https://security.paloaltonetworks.com/CVE-2024-3400

・VOLEXITY
GlobalProtect の認証されていないリモートコード実行の脆弱性のゼロデイエクスプロイトの脆弱性 (CVE-2024-3400) , 2024年4月17日閲覧
https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/

 

5. SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

 急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
 SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
       FAX 03-5464-9977
       sales@ssk-kan.co.jp