約22,500台のPalo Alto GlobalProtectファイアウォールデバイスに、少なくとも2024年3月26日以降、攻撃において活発に悪用されているコマンドインジェクションの重大な脆弱性であるCVE-2024-3400の脆弱性が存在する可能性があります。
CVE-2024-3400 は、GlobalProtect 機能の特定の Palo Alto Networks の PAN-OS バージョンに影響する重大な脆弱性で、認証されていない攻撃者が任意のファイル作成をトリガーとするコマンドインジェクションを使用して root 権限でコマンドを実行することを可能にします。
この欠陥は4月12日にパロアルトネットワークスによって公開され、セキュリティアドバイザリでは、システム管理者に対して、パッチが提供されるまで、提供された緩和策を直ちに適用するよう促している。
PAN-OSのバージョンにもよるが、パッチは2024年4月14日から18日の間に提供されたため、公開後のリスクにさらされる期間は2日から6日間であった。テレメトリーを無効にするというパロアルトの緩和策ではデバイスを保護できず、唯一の解決策はセキュリティパッチを適用することであったことが後に明らかになった。
この悪用を最初に発見したVolexityの研究者は、「UTA0218」として追跡されている国家に支援された脅威行為者がこの欠陥を悪用し、「Upstyle」と名付けられたカスタムバックドアでシステムを感染させたことを明らかにした。
今週初め、研究者はCVE-2024-3400の技術的な詳細と概念実証のためのエクスプロイトを共有し、認証されていない攻撃者がいかに簡単にパッチの適用されていないエンドポイントでrootとしてコマンドを実行できるかを実証した。
このエクスプロイトが一般に公開されたことで、多くの脅威行為者が独自の攻撃を行うことが可能となり、システム管理者はパッチの適用を遅らせる余地を失うことになりました。
Greynoiseのスキャナは、CVE-2024-3400の欠陥を悪用しようとするユニークなIPアドレスの数が多いことを示し、この悪用の増加を確認しました。
事態の緊急性にもかかわらず、ShadowServer Foundationの脅威監視サービスによると、2024年4月18日現在、「脆弱性の可能性がある」インスタンスはまだおよそ22,500台ある。
デバイスのほとんどは米国(9,620台)にあり、日本(960台)、インド(890台)、ドイツ(790台)、英国(780台)、カナダ(620台)、オーストラリア(580台)、フランス(500台)と続いている。
今週初め、Shadow Serverは、156,000以上のPAN-OSファイアウォールインスタンスがインターネット上に公開されていることを報告した。
先週の金曜日、脅威研究者の瀬地山豊氏は独自のスキャンを実施し、82,000のファイアウォールを観測したと報告した。
この研究者の推定が正確であれば、暴露されたPAN-OSシステムのおよそ73%が1週間以内にパッチを適用されたことになる。
パロアルトのセキュリティ・アドバイザリは、先週から数回にわたって更新されており、新しい情報や不審な動きを探すための指示が追加されている。
Comments