Palo Alto Networks製品にゼロデイ脆弱性 数千以上の組織が危険に

Palo Alto Networksは同社のファイアウォールに脆弱性があると発表した。どの程度のユーザーが危険にさらされているのだろうか。

[Matt Kapko，Cybersecurity Dive]

　セキュリティベンダーのPalo Alto Networksは2024年11月18日（現地時間、以下同）にセキュリティアドバイザリーを更新した（注1）。そこには次のように記されている。

　「当社製品のユーザーは当社のファイアウォールの一部で使用されているOS『PAN-OS』の脆弱（ぜいじゃく）性によるゼロデイに直面している。この脆弱性は認証を回避できる重大なものであり、（攻撃者によって）積極的に利用されている」

PAN-OSのゼロデイ脆弱性で数千の組織が脅威にさらされている

　Palo Alto Networksの脅威インテリジェンス部門Unit 42は2024年11月18日の脅威報告で次のよう記した（注2）。

　「当社は限られた数のデバイス管理Webインタフェースを狙った脅威活動を確認した。悪用後の活動として確認されたものには、インタラクティブなコマンド実行や、ファイアウォールにWebシェルなどのマルウェアを配置する行為が含まれていた」

　この脆弱性「CVE-2024-0012」は共通脆弱性評価システム（CVSS）におけるスコアは9.3と高い（注3）。管理Webインタフェースへのネットワークアクセスが可能であれば、認証されていない攻撃者であっても管理者権限を取得したり、設定を改ざんしたりできる。この脆弱性単体でも危険だが、攻撃者は「CVE-2024-9474」のような認証済みの特権昇格に関連する他の脆弱性も悪用できるようになる（注4）。CVE-2024-9474のCVSSのスコアは6.9だ。

　Palo Alto Networksの製品は脆弱性が最近目立っている。同社の移行支援ツール「Expedition」における3件のゼロデイ脆弱性が2024年11月の初めに悪用されたばかりだ（注5）。振り返ると、攻撃者は2024年の初めにもPAN-OSにおける最も深刻なゼロデイ脆弱性を悪用した（注6）。

脆弱性対応は進んでいるのか

　Palo Alto Networksは、PAN-OSの管理インタフェースにおける未確認の脆弱性に関するセキュリティアドバイザリーを2024年11月8日に初めて公開した。同社は同年11月14日に、本脆弱性を狙った脅威活動を確認し、同年11月15日には侵害の兆候を追加した。

　2024年11月18日に、本脆弱性に共通脆弱性識別子（CVE）が割り当てられ、Palo Alto Networksがパッチを公開した。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年11月18日に、「既知の脆弱性が掲載されたカタログ」（KEV：Known Exploited Vulnerabilities Catalog）に「CVE-2024-0012」と「CVE-2024-9474」を追加した（注7）。CISAは、同年11月の初めのPalo Alto Networksの警告と（注8）、ネットワークデバイスの強化に関する同社のガイダンスを指摘する警告の更新情報も公開した（注9）。

　Palo Alto Networksでグローバルクライシスコミュニケーションおよび評判管理を担当するスティーブン・タイ氏（シニアマネジャー）は、2024年11月18日、次のように述べた。

　「攻撃者が管理インタフェースへのアクセス権を持っている場合、これらの脆弱性を悪用することでファイアウォールを制御できてしまう恐れがある。インターネットに公開されている管理インタフェースは、特に高いリスクにさらされている。私たちは影響を受けたユーザーと積極的に連携しており、全ての組織に対して、ファイアウォールがリスクにさらされているかどうかを直ちに確認し、セキュリティパッチを適用するよう強く呼び掛けている」（タイ氏）

　Palo Alto Networksは、「CVE-2024-0012」の初期の悪用を「Operation Lunar Peek」として追跡しており、「インターネットやその他の信頼できないネットワークに管理Webインタフェースが公開されている状態で展開中のPAN-OSのデバイスはごくわずかだ」と述べた。

　だが、非営利のセキュリティ組織Shadowserverによると（注10）、2024年11月17日の時点で6500以上のPAN-OSの管理インタフェースがインターネットに公開されているという。これは同年11月11日の約1万1000件からは減少しているものの、「ごくわずか」とは言えないだろう。

出典：Palo Alto Networks customers grapple with another actively exploited zero-day（Cybersecurity Dive）
注1：CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)（Palo Alto Networks）
注2：Threat Brief: Operation Lunar Peek, Activity Related to CVE-2024-0012 and CVE-2024-9474 (Updated Nov. 22)（Unit 42）
注3：CVE-2024-0012 Detail（NIST）
注4：CVE-2024-9474 Detail（NIST）
注5：Palo Alto Networks’ customer migration tool hit by trio of CVE exploits（Cybersecurity Dive）
注6：Palo Alto Networks quibbles over impact of exploited, compromised firewalls（Cybersecurity Dive）
注7：CISA Adds Three Known Exploited Vulnerabilities to Catalog（CISA）
注8：Palo Alto Networks Emphasizes Hardening Guidance（CISA）
注9：Tips & Tricks: How to Secure the Management Access of Your Palo Alto Networks Device（Palo Alto Networks）
注10：Time series（Shadowserver）