Palo Alto Networks

本日、CISAは、Checkpoint、Cisco、およびその他のベンダーのファイアウォール設定をPAN-OSに変換するための移行ツールであるPalo Alto Networks Expeditionにおいて、認証が欠落している重大な脆弱性が攻撃者に悪用されていることを警告しました。

このセキュリティ上の欠陥は CVE-2024-5910として追跡され、 7月にパッチが適用されましたが、脅威者はリモートでこの欠陥を悪用し、インターネットに公開されたExpeditionサーバ上のアプリケーション管理者認証情報をリセットすることができます。

CISAは、「Palo Alto Expeditionには、ネットワークにアクセスできる攻撃者がExpeditionの管理者アカウントを乗っ取ることを可能にし、潜在的に設定秘密、資格情報、およびその他のデータにアクセスすることを可能にする認証欠落の脆弱性が含まれています」と述べています。

サイバーセキュリティ機関はこれらの攻撃の詳細をまだ明らかにしていないが、Horizon3.aiの脆弱性研究者であるZach Hanley氏は、この管理者リセットの欠陥とCVE-2024-9464コマンド・インジェクションの脆弱性(先月パッチが適用済み)を連鎖させて、脆弱なExpeditionサーバー上で「認証されていない」任意のコマンドを実行させることができる概念実証のエクスプロイトを10月に公開した。

CVE-2024-9464 は、ファイアウォールの管理者アカウントを乗っ取り、PAN-OS ファイアウォールを乗っ取るために、他のセキュリティ上の欠陥(10 月に Palo Alto Networks も対処済み)と連鎖させることができます。

侵入してくる攻撃をブロックするためのセキュリティ・アップデートをすぐにインストールできない管理者は、Expeditionのネットワーク・アクセスを許可されたユーザー、ホスト、またはネットワークに制限することをお勧めします。

「すべてのExpeditionユーザー名、パスワード、およびAPIキーは、修正バージョンのExpeditionにアップグレードした後にローテーションする必要があります。Expeditionによって処理されるすべてのファイアウォールのユーザー名、パスワード、APIキーは、アップデート後にローテーションする必要があります」と同社は注意を促している。

パロアルトネットワークスは、現在進行中のCVE-2024-5910攻撃について顧客に警告するセキュリティ勧告をまだ更新していない。

CISAも木曜日にこの脆弱性をKnown Exploited Vulnerabilities Catalogに 追加した。2021年11月に発行された拘束力のある運用指令(BOD 22-01)で義務付けられているように、米国の連邦政府機関は現在、11月28日までに、ネットワーク上の脆弱なPalo Alto Networks Expeditionサーバーを3週間以内に攻撃から保護しなければならない。

「この種の脆弱性は、悪意のあるサイバー行為者にとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」とサイバーセキュリティ機関は警告している。