ハッカーは、最近修正された認証をバイパスできる脆弱性(CVE-2025-0108)を悪用して、パロアルトネットワークスの PAN-OS ファイアウォールに対して攻撃を仕掛けています。
この脆弱性は、PAN-OSの管理Webインターフェイスに影響を与え、ネットワーク上の認証されていない攻撃者が認証をバイパスして特定のPHPスクリプトを呼び出すことを可能にし、完全性と機密性を損なう可能性があります。
パロアルトネットワークスは、2月12日付のセキュリティ情報で、この問題に対処するため、ファイアウォールを以下のバージョンにアップグレードするよう管理者に呼びかけている:
- 11.2.4-h4 またはそれ以降
- 11.1.6-h1 またはそれ以降
- 10.2.13-h3 またはそれ以降
- 10.1.14-h9以降
PAN-OS 11.0も影響を受けますが、この製品はライフサイクル終了(EoL)に達しており、パロアルトネットワークスではこの製品の修正プログラムをリリースする予定はありません。このため、ユーザーはサポート対象のリリースにアップグレードすることを強くお勧めします。
ソースパロアルトネットワークス
この脆弱性はAssetnoteのセキュリティ研究者によって発見され、パロアルトネットワークスに報告された。彼らはまた、パッチがリリースされた際に、完全な悪用の詳細を記した報告書を公開した。
研究者は、この欠陥を利用して、機密性の高いシステムデータの抽出、ファイアウォール設定の取得、または PAN-OS 内の特定の設定の操作の可能性を示しました。
このエクスプロイトでは、PAN-OSのNginxとApache間のパスの混乱を利用し、認証をバイパスすることができます。
管理インターフェイスにネットワーク アクセスできる攻撃者は、これを利用して、さらなる攻撃のためのインテリジェンスを収集したり、アクセス可能な設定を変更してセキュリティ防御を弱めたりすることができます。
ソースはこちら:Assetnote
脅威監視プラットフォームGreyNoiseは、パッチが適用されていないPAN-OSファイアウォールを標的とした悪用の試みを記録しました。
攻撃は2月13日17:00UTCに開始され、複数のIPアドレスから発信されているようです。
ソースはこちら:グレイノイズ
脆弱なデバイスがオンラインで公開されていることについて、マクニカ・リサーチャーの瀬地山豊氏は、現在4,400台以上のPAN-OSデバイスが管理インターフェイスをオンラインで公開していると述べた。
PoCが公開されていることを考慮すると、今後数日のうちに頂点に達する可能性が非常に高い現在進行中の悪用活動から身を守るためには、利用可能なパッチを適用し、ファイアウォールの管理インターフェイスへのアクセスを制限することが推奨される。
Comments