Palo Alto Networks

CISAは本日、パロアルトネットワークスのExpeditionマイグレーションツールに存在するさらに2つの重大なセキュリティ脆弱性が、現在活発に悪用されていると警告した。

攻撃者は、認証されていないコマンドインジェクション(CVE-2024-9463)およびSQLインジェクション(CVE-2024-9465)の2つの脆弱性を利用して、チェックポイント、シスコ、およびその他の対応ベンダーからの構成の移行を支援する同社のExpeditionマイグレーションツールを実行するパッチ未適用のシステムに侵入することができる。

CVE-2024-9463では、攻撃者がrootとして任意のOSコマンドを実行し、PAN-OSファイアウォールのユーザー名、平文のパスワード、デバイス設定、およびデバイスAPIキーを公開することができますが、2つ目の欠陥は、Expeditionデータベースのコンテンツ(パスワードハッシュ、ユーザー名、デバイス設定、およびデバイスAPIキーを含む)にアクセスし、脆弱なシステム上で任意のファイルを作成または読み取るために悪用される可能性があります。

パロアルトネットワークスは、Expedition 1.2.96以降でこれらの問題に対処するセキュリティアップデートを配布している。同社は、ソフトウェアを直ちにアップデートできない管理者に対し、Expeditionのネットワーク・アクセスを許可されたユーザー、ホスト、またはネットワークに制限するようアドバイスしている。

「パロアルトネットワークスは、10月上旬に発表したセキュリティアドバイザリで、「パロアルトネットワークスのExpeditionに複数の脆弱性があり、攻撃者はExpeditionのデータベースの内容や任意のファイルを読み取ったり、Expeditionシステム上の一時的な保存場所に任意のファイルを書き込んだりすることができる。

「これらの情報には、PAN-OS ファイアウォールのユーザー名、平文パスワード、デバイス設定、デバイス API キーなどが含まれます。

「すべてのExpeditionのユーザ名、パスワード、APIキーは、Expeditionの修正バージョンにアップグレードした後にローテーションする必要があります。Expeditionによって処理されるすべてのファイアウォールのユーザー名、パスワード、APIキーは、アップデート後にローテーションする必要があります」と付け加え、これらのセキュリティ上の欠陥は、同社のファイアウォール、Panorama、Prisma Access、Cloud NGFW製品には影響しないとしている。

連邦政府機関に3週間以内のパッチ適用を命令

木曜日、CISAは2つの脆弱性をKnown Exploited Vulnerabilities Catalogに 追加し、連邦政府機関に対し、拘束的運用指令(BOD 22-01)で義務付けられている通り、12月5日までに3週間以内にネットワーク上のPalo Alto Networks Expeditionサーバーにパッチを当てるよう命じた。

1週間前、サイバーセキュリティ機関は、7月にパッチが適用されたExpeditionのもう1つのセキュリティ上の欠陥、重大な認証漏れの脆弱性(CVE-2024-5910 )について警告した。

CISAはこれらの進行中の攻撃に関する詳細情報をまだ提供していないにもかかわらず、Horizon3.aiの脆弱性研究者であるZach Hanleyが先月公開した概念実証済みのエクスプロイトコードは、CVE-2024-5910と10月にパッチが適用された別のコマンド・インジェクションの脆弱性(CVE-2024-9464)を連鎖させ、脆弱性がありインターネットに公開されたExpitionサーバー上で「認証されていない」任意のコマンドを実行させるのに役立ちます。

CVE-2024-9464は、他のExpeditionの欠陥(先月も対処済み)と連鎖して、ファイアウォールの管理者アカウントを乗っ取り、パッチが適用されていないPAN-OSファイアウォールを乗っ取る可能性があります。