パロアルトネットワークスは、同社の次世代ファイアウォール(NGFW)に存在する、悪用が活発なゼロデイ脆弱性2件のセキュリティアップデートをついにリリースした。
CVE-2024-0012 として追跡されている最初の欠陥は、PAN-OS 管理 Web インターフェースで見つかった認証バイパスで、リモートの攻撃者は、認証やユーザーによる操作を必要とせずに管理者権限を取得するために悪用することができます。
2つ目(CVE-2024-9474)は、PAN-OSの特権昇格のセキュリティ上の欠陥で、悪意のあるPAN-OS管理者がファイアウォール上でroot権限でアクションを実行できるようにするものです。
CVE-2024-9474は本日公開されましたが、同社は先週金曜日にCVE-2024-0012としてタグ付けされたRCEの潜在的な欠陥があるため、次世代ファイアウォールへのアクセスを制限するよう11月8日に初めて顧客に警告しました。
「パロアルトネットワークスは、ネットワーク外部からのインターネットトラフィックにさらされている限られた数の管理ウェブインタフェースに対して、この脆弱性を悪用する脅威活動を観測しました。
「パロアルトネットワークスは、管理ウェブインタフェースがインターネットまたは他の信頼できないネットワークに公開されているごく少数のPAN-OSデバイスを特定し、さらに最小限に抑えるために、積極的に監視し、顧客と協力してきました。
同社は、これらのゼロデイが影響を与えるファイアウォールは「ごく少数」であるとしていますが、脅威監視プラットフォームShadowserverは、8,700台以上のPAN-OS管理インターフェイスが公開されていることを追跡していると金曜日に報告しています。
Macnicaの脅威研究者である瀬地山豊氏も、Shodanを使用してオンラインで公開されたPalo Alto PAN-OS管理インターフェイスを実行している11,000以上のIPアドレスを発見したと述べています。Shodanによると、最も脆弱なデバイスは米国にあり、インド、メキシコ、タイ、インドネシアがそれに続く。
米国のサイバーセキュリティ機関は、CVE-2024-0012とCVE-2024-9474の脆弱性をKnown Exploited Vulnerabilities Catalogに 追加し、連邦政府機関に対し、12月9日までに3週間以内にシステムにパッチを適用するよう命じた。
11月上旬、CISAはまた、パロアルトネットワークスのExpeditionファイアウォール設定移行ツールの重大な認証欠落の脆弱性(CVE-2024-5910)を悪用した攻撃が進行中であることを警告した。この脆弱性は、7月にパッチが適用されたもので、脅威行為者はこれをリモートで悪用して、インターネットに公開されたExpeditionサーバー上のアプリケーション管理者認証情報をリセットすることができる。
CISAは、「この種の脆弱性は、悪意のあるサイバー・アクターにとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」と警告している。
Comments