Palo Alto Networksの機器がサイバー被害 「大した被害じゃない」は本当か？

Palo Alto Networksのファイアウォールにゼロデイ脆弱性が見つかり、同社はセキュリティアドバイザリーやパッチを公開した。ただし、実害がどの程度あったのかについて研究者と意見が対立している。

[Matt Kapko，Cybersecurity Dive]

　Palo Alto Networksのファイアウォール向けOS「PAN-OS」にゼロデイ脆弱（ぜいじゃく）性が見つかった。同社の対応は比較的早く、パッチも発行した。

　だが、実害について意見が対立している。同社は被害にあったファイアオールの数を少なく見積もっているが、研究者の意見はそれとは異なる。

Palo Alto Networksの機器がサイバー被害

　どのような対立があるのだろうか。

　意見が対立しているのはPalo Alto Networksと、サイバーセキュリティの脅威を監視するThe Shadowserver Foundation（以下、Shadowserver）の研究者だ。Shadowserverは約2000件の侵害が確認されたとしているが、Palo Alto Networksは「それほど広範囲な侵害は発生していない」と主張した。

　Shadowserverが2024年11月21日（現地時間）に実行したスキャンによれば（注1）、PAN-OSに存在するゼロデイ脆弱性を狙った攻撃により、Palo Alto Networksの顧客のファイアウォールが侵害されていた。

　だが、Palo Alto NetworksはShadowserverの調査結果に異議を唱えた。世界的な危機対応と評判管理を担当するPalo Alto Networksのスティーブン・タイ氏（シニアマネジャー）は、2024年11月21日に「侵害の正確な数は確認できていないが、それは決して多くない」と述べた。

　Shadowserverは200以上の国のコンピュータセキュリティインシデント対応チームと日々の分析を共有する非営利団体で、インターネットに公開されていて既知の攻撃に対して潜在的に脆弱なデバイスをスキャンしている。

　今回のケースでは、Shadowserverとサウジアラビアの国家サイバーセキュリティ局との連携により、攻撃者が残した痕跡が特定された。Shadowserverのピオトル・キジェフスキ氏（CEO）は2024年11月22日に「これらの痕跡はリモートで検出可能だ」と述べた。

　Shadowserverの調査結果は、「顧客のファイアウォール管理インタフェースが悪用されたのはごく少数に限られる」というPalo Alto Networksの主張の一部を否定するものだ（注2）。　

　「ファイアウォール全体のエコシステムは数百万台の規模だ。しかし、当社の視点からすると、1台でも影響を受けたのであれば、それは影響の度合いが大きい。当社は潜在的な脆弱性を確認した際には頻繁に通知したり、情報を公開したりしている。当社の顧客が導入しているファイアウォールのうち、インターネットにさらされた管理インタフェースを持つものは0.5％未満だ」（タイ氏）

脆弱性の発見からどう対応したのか

　Palo Alto NetworksはPAN-OSの管理インタフェースにおける未確認の脆弱性に関するセキュリティアドバイザリーを2024年11月8日に発表した（注3）。同社は、同年11月14日にこの脆弱性を標的とする脅威活動を観測し、同年11月15日に侵害の兆候について追記した。

　2024年11月18日には、該当する脆弱性に「CVE-2024-0012」という共通脆弱性識別子が割り当てられ（注4）、Palo Alto Networksはパッチを発行した。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は同じくPAN-OS内で併用して悪用可能な別の脆弱性「CVE-2024-9474」とともに（注5）、「CVE-2024-0012」を既知の脆弱性のカタログ（KEV：Known Exploited Vulnerabilities Catalog）に追加した（注6）。CISAは悪用の証拠や重大なリスクなどが認められた脆弱性をKEVに追加する。

CVE-2024-0012とはどのような脆弱性なのか

　CVE-2024-0012は、Palo Alto NetworksのPAN-OSにおける重大な脆弱性だ。管理Webインタフェースに関連しており、認証バイパスが可能になる。そのため、攻撃者が認証を経由せずに管理者権限を取得できる。

　攻撃者は管理者権限を持つユーザーとしてシステムにアクセスできるため、管理設定を変更したり、構成を改ざんしたりできる。

　共通脆弱性評価システム（CVSS）におけるスコアは9.3と高い。この脆弱性は、PAN-OS 11.2系列のバージョン11.2.4-h1未満などが対象だ。（キーマンズネット編集部）

　Shadowserverのスキャンにより、2024年11月19日からこの脆弱性を標的とした脅威活動が増加していることが確認された。キジェフスキ氏は「この日からさらに多くの脅威グループが、この脆弱性を悪用し始めたと考えられる」と述べた。

　Palo Alto Networksの脅威インテリジェンスチームUnit 42は「CVE-2024-0012」の初期の悪用を「Operation Lunar Peek」として追跡している（注7）。

　「当社は影響を受ける可能性のある顧客と積極的に連携しており、顧客のセキュリティのサポートに全力を尽くしている」（タイ氏）

　2024年11月の上旬には、顧客を他のベンダーから自社に移行するためのツールとしてPalo Alto Networksが提供している「Expedition」に3つのゼロデイ脆弱性が発見された（注8）。今回の脆弱性の悪用はそれに続くものだった。また、攻撃者は2024年の初めにもPAN-OSに関連する深刻度が最大のゼロデイ脆弱性「CVE-2024-3400」を悪用していた（注9）。

出典：Palo Alto Networks pushes back as Shadowserver spots 2K of its firewalls exploited（Cybersecurity Dive）
注1：General statistics World map（The Shadowserver Foundation）
注2：Palo Alto Networks customers grapple with another actively exploited zero-day（Cybersecurity Dive）
注3：CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)（Palo Alto Networks）
注4：CVE-2024-0012 Detail（NIST）
注5：CVE-2024-9474 Detail（NIST）
注6：CISA Adds Three Known Exploited Vulnerabilities to Catalog（CISA）
注7：Threat Brief: Operation Lunar Peek, Activity Related to CVE-2024-0012 and CVE-2024-9474 (Updated Nov. 22)（Unit 42）
注8：Palo Alto Networks’ customer migration tool hit by trio of CVE exploits（Cybersecurity Dive）
注9：Palo Alto Networks quibbles over impact of exploited, compromised firewalls（Cybersecurity Dive）

原文へのリンク