パロアルトネットワークスは、3月26日以降、PAN-OS ファイアウォールをバックドア化するために悪用が活発化しているゼロデイ脆弱性に対するホットフィックスのリリースを開始しました。
この最大重大度のセキュリティ欠陥(CVE-2024-3400)は、デバイスのテレメトリおよびGlobalProtect(ゲートウェイまたはポータル)が有効になっているPAN-OS 10.2、PAN-OS 11.0、およびPAN-OS 11.1ファイアウォールに影響します。
未認証の脅威行為者は、リモートでこの脆弱性を悪用し、ユーザーによる操作を必要としない複雑度の低い攻撃で、コマンドインジェクションによりルートコードを実行することができます。
「パロアルトネットワークスは、この脆弱性を悪用した限られた数の攻撃を認識している」と、同社がゼロデイを公表した金曜日に警告している。
同社は現在、PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、およびPAN-OS 11.1.2-h3のホットフィックスリリースでセキュリティ上の欠陥を修正している。PAN-OSの以降のバージョンについては、今後さらに多くのHotfixが提供される予定です。
Palo Alto Networksのアドバイザリによると、Cloud NGFW、Panoramaアプライアンス、およびPrisma Accessは、この脆弱性を利用した攻撃には晒されていない。
ホットフィックスを待っている管理者は、パッチが配布されるまで、脆弱性のあるデバイスのデバイス遠隔測定機能を無効にすることができる。また、「脅威防御」サブスクリプションを有効にしている場合は、脅威防御ベースのミティゲーション「Threat ID 95187」を有効にすることで、進行中の攻撃をブロックすることができます。
3月以降、ファイアウォールのバックドアに悪用される
このゼロデイ欠陥を発見したセキュリティ企業Volexityは、この欠陥を使用して、Upstyleマルウェアを使用してPAN-OSデバイスをバックドア化し、ネットワークに侵入してデータを盗む脅威者を検出しました。
Volexity は、UTA0218 の下でこの悪質な活動を追跡しており、これらの継続的な攻撃の背後には、国家に支援された脅威行為者がいる可能性が高いと確信しています。
「本稿執筆時点では、Volexityはこの活動を他の脅威活動と関連付けることはできませんでした」とVolexityは金曜日に述べています。
“Volexityは、このような性質の脆弱性を開発し悪用するために必要なリソース、この行為者が標的とする被害者のタイプ、およびPythonバックドアをインストールし、被害者のネットワークにさらにアクセスするために表示される機能に基づいて、UTA0218が国家に支援された脅威行為者である可能性が高いと評価しています。”
脅威リサーチャーの瀬地山豊氏は金曜日に、82,000台以上のPAN-OSデバイスがオンラインで公開され、CVE-2024-34000の攻撃に対して脆弱であることを発見したことを明らかにした。
CISAは、CVE-2024-3400をKEV(Known Exploited Vulnerabilities:既知の悪用される脆弱性)カタログに追加し、連邦政府機関に対し、4月19日までに1週間以内に脅威緩和ルールを適用するか、遠隔測定を無効にすることでデバイスを保護するよう命じた。
Comments