パロアルトネットワークスは、現在「PAN-SA-2024-0015」として追跡されている次世代ファイアウォール(NGFW)管理インターフェイスの重大なゼロデイ脆弱性が、攻撃において活発に悪用されていると警告している。
この脆弱性は2024年11月8日に公開されたもので、パロアルトネットワークスは、次世代ファイアウォールにリモートコード実行(RCE)の脆弱性が影響する「可能性がある」として、次世代ファイアウォールへのアクセスを制限するよう顧客に警告していました。
その時点では悪用の兆候は検出されなかったが、1週間後の現在、状況は変化している。
「パロアルトネットワークスは、インターネットに公開されている限られた数のファイアウォール管理インターフェイスに対して、認証されていないリモートコマンド実行の脆弱性を悪用する脅威活動を観測しました。
「現時点では、管理インターフェイスへのアクセスが当社の推奨するベストプラクティスの導入ガイドラインに従って保護されていないデバイスは、リスクが高まっていると考えています。
CVSS v4.0スコア9.3(「クリティカル」)と評価されたこの脆弱性は、リモートから悪用可能で、認証やユーザーによる操作を必要としない。
インターネットに公開されたインターフェイスが検出されると、攻撃者は特別に細工したリクエストを送信してファイアウォールを不正に制御することができ、ルールの変更、ネットワーク・トラフィックのリダイレクトや傍受、セキュリティ保護のオフなどが可能になる可能性がある。
残念ながら、このベンダーは、現時点では侵害の指標となる有用なリストを作成するのに十分な情報を持っていないが、次のような緩和策を提案している:
- ファイアウォールの管理インターフェイスへのアクセスを、信頼できる内部 IP アドレスからのみアクセスできるように設定する。
- 悪用を防ぐために、管理インターフェイスへのすべてのインターネットアクセスをブロックする。
- 管理インターフェイスを保護されたネットワークまたは VPN の背後に置き、アクセスが制御され認証されるようにする。
- ここに記載されているセキュリティガイドラインを確認し、実施する。
危険な RCE バグは 1 週間前に発見されたにもかかわらず、パロアルトネットワークスは、影響を受けるクライアントに対してまだセキュリティ更新プログラムを提供していません。
「現時点では、管理インターフェイスへのアクセスを保護することが最も推奨される対策です。
「脅威の活動を調査しながら、可能な限り早期に修正プログラムと脅威防止シグネチャをリリースできるよう準備を進めています。
脅威監視プラットフォームThe Shadowserver Foundationは、本日未明、約8,700の露出したインターフェイスを確認していると報告した。
脅威リサーチャーの瀬地山豊氏は、Shodan上で独自のスキャンを実施し、パロアルトの管理インターフェイスに関連する11,180のIPアドレスがオンラインで公開されていることを確認したと述べています。
「ご存知のように、Shodanの結果はリアルタイムの情報ではありません。しかし、3日前の調査で、これらのIPのうち11,180個が実際にオンラインであることを確認しました。
Shodanによると、デバイスの多くは米国にあり、インド、メキシコ、タイ、インドネシアがそれに続いている。
ミティゲーションが適切に適用されていることを確認するには、Palo Alto Networks Customer Support Portal の Assets セクションにアクセスして、インターネットに面した管理インタフェースを持つデバイスのリストを見つけ、「PAN-SA-2025-0015」のタグが付けられたデバイスを探します。
1つも表示されない場合は、スキャンによってインターネットに露出した管理インタフェースが検出されなかったことになります。検出された場合、管理者は前述の手順でデバイスを保護する必要があります。
Comments