Palo Alto Networks

パロアルトネットワークスは本日、攻撃者がPAN-OSファイアウォールを乗っ取るために連鎖させることができるセキュリティ脆弱性(公開エクスプロイトコード付き)にパッチを適用するよう顧客に警告した。

この欠陥はパロアルトネットワークスのExpeditionソリューションで発見されたもので、他のチェックポイント、シスコ、またはサポートされているベンダーからの設定の移行を支援します。

この脆弱性を悪用して、ユーザー認証情報などの機密データにアクセスし、ファイアウォールの管理者アカウントを乗っ取ることができます。

「パロアルトネットワークスのExpeditionには複数の脆弱性があり、攻撃者はExpeditionデータベースの内容や任意のファイルを読み取ったり、Expeditionシステム上の一時的な保存場所に任意のファイルを書き込むことができます

「これらのバグには、PAN-OSファイアウォールのユーザー名、平文パスワード、デバイス設定、デバイスAPIキーなどの情報が含まれます。

これらのバグは、コマンドインジェクション、クロスサイトスクリプティング(XSS)、機密情報の平文保存、認証の欠落、SQLインジェクションの脆弱性を組み合わせたものです:

  • CVE-2024-9463(認証されていないコマンド・インジェクションの脆弱性)
  • CVE-2024-9464(認証済みコマンド・インジェクションの脆弱性)
  • CVE-2024-9465(認証されていない SQL インジェクションの脆弱性)
  • CVE-2024-9466(ログに保存された平文の認証情報)
  • CVE-2024-9467(認証されていない反射型 XSS 脆弱性)

概念実証済みのエクスプロイトが利用可能

4つのバグを発見し報告したHorizon3.aiの脆弱性研究者であるZach Hanleyは、根本原因の分析記事も公開しており、攻撃者がExpeditionアプリケーションの管理者認証情報をリセットできる脆弱性CVE-2024-5910(7月に公開され、パッチが適用された)を研究しているときに、これらの欠陥のうち3つを発見した経緯について詳しく説明しています。

Hanley氏はまた、CVE-2024-5910の管理者リセットの欠陥とCVE-2024-9464のコマンドインジェクションの脆弱性を連鎖させ、脆弱なExpeditionサーバー上で「認証されていない」任意のコマンドを実行させる概念実証のエクスプロイトも公開しています。

パロアルトネットワークスによると、現時点では、これらのセキュリティ上の欠陥が攻撃に悪用されたという証拠はないという。

「記載されているすべての問題の修正は、Expedition 1.2.96およびそれ以降のすべてのExpeditionバージョンで利用可能です。CVE-2024-9466の影響を受けたクリアテキストファイルは、アップグレード中に自動的に削除されます。

「すべてのExpeditionユーザー名、パスワード、およびAPIキーは、修正バージョンのExpeditionにアップグレードした後にローテーションする必要があります。Expeditionによって処理されるすべてのファイアウォールのユーザー名、パスワード、およびAPIキーは、アップデート後にローテーションする必要があります。

今日のセキュリティ・アップデートをすぐに導入できない管理者は、Expeditionのネットワーク・アクセスを許可されたユーザー、ホスト、またはネットワークに制限する必要があります。

同社は4月、UTA0218として追跡されている国家を後ろ盾とする脅威行為者が3月以来積極的に悪用していた、PAN-OSファイアウォールをバックドア化する最大重大度のゼロデイバグのホットフィックスのリリースを開始した。