パロアルトネットワークスのファイアウォールゼロデイが約1ヶ月間悪用される

パロアルトネットワークスは、国家的支援を受けたと思われるハッカーが、重大な PAN-OS ファイアウォールのゼロデイ脆弱性を約 1 か月にわたって悪用していることを顧客に警告しました。

CVE-2026-0300として追跡されているこのリモートコード実行のセキュリティ欠陥は、PAN-OS User-ID Authentication Portal（別名Captive Portal）で発見され、インターネットに公開されたPA-SeriesおよびVM-Seriesファイアウォール上で、認証されていない攻撃者がroot権限で任意のコードを実行できるバッファオーバーフローの脆弱性に起因しています。

「現時点では、CVE-2026-0300 の限定的な悪用しか確認されていません。Unit 42 は、CVE-2026-0300 を悪用する、国家に支援された可能性の高い脅威活動のクラスターである CL-STA-1132 を追跡しています。この活動の背後にいる攻撃者は、CVE-2026-0300を悪用して、PAN-OSソフトウェアで認証されていないリモートコード実行（RCE）を実現しています」と同社は述べています。

「2026年4月9日から、PAN-OSデバイスに対する悪用の試みが失敗しました。その1週間後、攻撃者はデバイスに対するRCEに成功し、シェルコードを注入しました。侵害後、攻撃者は直ちにログクリーンアップを実施し、クラッシュカーネルメッセージの消去、nginxクラッシュエントリおよびnginxクラッシュレコードの削除、クラッシュコアダンプファイルの削除を行い、検知を緩和しました。

被害者のファイアウォールを侵害した後、攻撃者はオープンソースのEarthwormと ReverseSocks5networkトンネリングツールを展開し、それぞれ侵害されたデバイス上にSOCKS v5サーバーとプロキシトンネルを作成するために使用することができます。

EarthWormツールを使用すると、脅威行為者は制限されたネットワークを介して秘密の通信を設定することができ、ReverseSocks5を使用すると、ターゲットマシンからコントローラへのアウトバウンド接続を作成することにより、NATやファイアウォールをバイパスすることができます。EarthWormはこれまでにも、CL-STA-0046、Volt Typhoon、UAT-8337、APT41といった中国語圏の脅威グループに関連する攻撃で使用されています。

インターネット脅威の監視機関であるShadowserverは、現在インターネット上に公開されている5,400台以上のPAN-OS VMシリーズ・ファイアウォールを追跡しており、そのほとんどがアジア（2,466台）と北米（1,998台）に存在しています。

Palo Alto Networks VM-series PAN-OS firewalls exposed online — *Palo Alto NetworksのVMシリーズ・ファイアウォールがネット上に公開される（Shadowserver）*

Palo AltoNetworksは昨日、この欠陥はCloud NGFWやPanoramaアプライアンスには影響せず、現在もパッチのリリースに取り組んでおり、最初のパッチは来週水曜日（5月13日）に配布される予定だと述べた。

セキュリティ・アップデートが提供されるまでの間、同社は顧客に対し、PAN-OS User-ID Authentication Portalへのアクセスを信頼済みゾーンのみに制限するか、それが不可能な場合はポータルを無効にすることで安全を確保し、この問題のリスクを軽減するよう「強く」助言した。

管理者は、Device > User Identification > Authentication Portal Settings -> Enable Authentication PortalにあるUser-ID Authentication Portal Settingsページから、ファイアウォールが脆弱なサービスを使用するように構成されているかどうかをすぐに確認することができる。

米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）も水曜日、CVE-2026-0300 ゼロデイを既知の悪用される脆弱性（KEV）カタログに追加し、連邦民間行政機関（FCEB）に対し、5月9日（土）午前0時までに脆弱なファイアウォールを保護するよう命じた。

これらの CVE-2026-0300 ゼロデイ攻撃は、脅威グループがエッジ・ネットワーク・デバイス（ファイアウォール、ハイパーバイザー、ルーター、VPN ソフトウェアなど）を標的としている広範な傾向の一部であり、エンドポイントを保護するロギングやセキュリティ・ソフトウェアが欠如していることが多い。

CISAはまた、2月にBinding Operational Directive 26-02を発行し、米国政府機関に対し、メーカーからセキュリティ・アップデートを受けなくなったネットワーク・エッジ・デバイスを削除するよう求めている。

出典：https://www.bleepingcomputer.com/news/security/pan-os-firewall-rce-zero-day-exploited-in-attacks-since-april-9/

Comments