ファイアウォールが狙われる、ゼロデイ攻撃が拡大中

ファイアウォールはサイバー攻撃の防壁として重要だ。だが、この防壁自体が攻撃される事例が広がっている。

[Matt Kapko，Cybersecurity Dive]

　ファイアウォールを導入している企業はそれ自体の脆弱（ぜいじゃく）性に気を付けた方がよさそうだ。

Palo Alto Networks製品が攻撃される

　Palo Alto Networksのファイアウォールを使用している組織を標的としたゼロデイ攻撃による被害が、拡大している（注1）。どの程度の規模の攻撃なのだろうか。

　非営利のサイバーセキュリティ研究財団Shadowserver Foundationは2024年4月20日、攻撃者がPalo Alto Networksのファイアウォールを悪用した後に残っていたファイルを調査した。その結果、2024年4月21日、脆弱性が残っていて悪用された可能性が高い6634台のファイアウォールを発見した（注2、注3）。なお、（ユーザーの対応が進んだため）脆弱なファイアウォールの数は、2024年4月22日には6000台以下にまで減少した（注4）。

研究財団の主張と食い違う

　Palo Alto NetworksはShadowserver Foundationの調査結果の信頼性に疑問を呈し、悪用されたとしてもほとんどは重大な侵害には至っていないと主張した。

　Palo Alto Networksの広報担当者は2024年4月22日に次のように述べた。「悪用するための侵入プログラムを攻撃者が使ったかどうか、外部スキャンを活用したとしても遠隔から侵害されたかどうかを確認できるとは考えていない。Shadowserver FoundationはGlobalProtectインスタンスのバージョンを推測しているようだが、ファイアウォールに適用された対策（緩和策）を考慮していない可能性がある」

　Palo Alto Networksの脅威インテリジェンスチームUnit 42によれば、観測された悪用事例のうち、攻撃者による対話型コマンドの実行につながったのは、ごく限られた数の侵害だったという。

　Shadowserver Foundationが観測した証拠には、ファイアウォールに作成された0バイト容量のファイルといった痕跡が含まれている。Shadowserver Foundationのピオトル・キイェフスキ氏（CEO）は「これはファイアウォールが侵害されたことを必ずしも意味するものではなく、今回の悪用に備えた対策を考慮したものでもない」と述べた。

　「当財団が報告したのは、ファイアウォールにパッチが適用されているかどうかだ。パッチが適用されていない場合は、脆弱性が残っている可能性があると報告し、悪用された形跡がある場合は、脆弱性があると報告した」（キイェフスキ氏）

　Shadowserver Foundationの分析は世界のほとんどの国のコンピュータセキュリティインシデント対応チームに毎日共有されている。分析ではパッチが適用されていないファイアウォールやすでに侵害されたファイアウォールに対して攻撃者が2回目の攻撃を仕掛ける可能性のあるメカニズムを強調している。

　Palo Alto Networksは影響を受けたファイアウォールがどの程度悪用されたかについて、明らかにしていない。同社の脅威インテリジェンスチームは、2024年4月10日に発表したオリジナルの脅威概要のアップデートにおいて（注5）、「現在までに確認された悪用の大半は失敗したか、悪用可能な当社のファイアウォール向けOS『PAN-OS』を搭載したデバイスを探す攻撃者によるスキャンに過ぎなかった」と述べた。

攻撃には4つの段階がある

　今回の攻撃は4段階のレベルに分類されている。

レベル0　攻撃者が対象のネットワークにアクセスしようとした際に法的証拠だけを残した場合。悪用行為は失敗している。

レベル1　侵入されたファイアウォールを含む。この場合、攻撃者はファイアウォールに0バイトのファイルを作成し、「最小限のエクスプロイトチェーン」に成功した。

レベル2　Webリクエストでアクセス可能な場所に攻撃者がコピーしたファイルが見つかった場合。ただし、そのファイルがその後ダウンロードされたかどうかは不明だ。

レベル3　シェルベースのバックドアやコードインジェクション、ファイルのダウンロード、コマンドの実行など対話型の攻撃の兆候が残っていた。

　Palo Alto Networksは、レベル2が起こった事例の数は「限定的」と表現し、レベル3の侵害を「非常に限定的」だと説明した。

どの程度危険な攻撃なのか

　今回の攻撃は共通脆弱性評価システム（CVSS）のスコアが10.0と定められた。つまり深刻度は最も危険な「緊急」だ。番号は「CVE-2024-3400」（注6）であり、コマンドインジェクションの脆弱性がある。つまり認証されていない人物がルート権限で任意のコードを実行できる。特定のバージョンのPAN-OSを搭載したデバイス（ファイアウォール）のGlobalProtect機能が悪用される。

　Unit 42のウェンディ・ウィットモア氏（シニアバイスプレジデント）によると、脅威インテリジェンス部門はこのCVEに関するインシデント対応サービスをリテーナー契約締結済みの全ての顧客に対して追加費用なしで提供している。同氏は、2024年4月19日に「LinkedIn」の投稿で「今回の事象に対するホットフィックスがすでに利用可能で、対象となる全ての組織は直ちに適用する必要がある」と述べた（注7）。

　Palo Alto Networksは今回のゼロデイ脆弱性とアクティブな悪用を2024年4月10日に認識した（注8）。これは、メモリ解析に特徴があるサイバーセキュリティ企業Volexityの研究者が今回の活動を発見した当日だ。Palo Alto Networksの広報担当者は「影響を受けた顧客の一人が、2024年4月10日に検出された情報の外部持ち出しの試みについて問い合わせをしてきた」と述べた。

　だが今回のゼロデイ脆弱性はPalo Alto NetworksやVolexityが発見した時点よりも、少なくとも2週間前から悪用されていた。

　Palo Alto Networksは2024年4月15日の週に、脆弱性の影響を受けると考えられるファイアウォールの種類を増やし、公開済みの二次的な緩和策を撤回した。複数のサードパーティーがCVEの概念実証を公開した後、悪用や攻撃の試みが悪化したと警告した（注9）。

　悪用の広がりは企業環境のネットワークデバイスやセキュリティハードウェアを襲う攻撃を引き起こした。経済的な動機があり、国家に関連する攻撃者が2023年にCitrix Systems（注10）やIvanti（注11）、Barracudaが販売したデバイスの脆弱性を広く悪用した事例（注12）の再来になりかねない。

　Palo Alto Networksはこのゼロデイ攻撃は「Operation MidnightEclipse」という名称で知られる国家に関連するグループによるものだとしている。だが同グループ以外の攻撃者が悪用を試みることが予想されるとも述べた。

出典：Palo Alto Networks quibbles over impact of exploited, compromised firewalls（Cybersecurity Dive）
注1：Palo Alto Networks fixes maximum severity, exploited CVE in firewalls（Cybersecurity Dive）
注2：World map（Shadowserver Foundation）
注3：The Shadowserver Foundation（X）
注4：Time series（Shadowserver Foundation）
注5：Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 (Updated May 3)（Unit 42）
注6：CVE-2024-3400 Detail（NIST）
注7：Wendi Whitmore（LinkedIn）
注8：Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400)（Volexity）
注9：Palo Alto Networks warns firewall exploits are spreading（Cybersecurity Dive）
注10：CitrixBleed worries mount as nation state, criminal groups launch exploits（Cybersecurity Dive）
注11：Ivanti pledges security overhaul after critical vulnerabilities targeted in lengthy exploit spree（Cybersecurity Dive）
注12：Barracuda zero-day vulnerability exploited for 7 months before detection（Cybersecurity Dive）