セキュリティの
学び場

今回の解説ニュース

Palo Alto Networksの製品に深刻度の高い脆弱性が発見されています。ご利用中の方はHotfixの適用を検討してください。発見された脆弱性の内容と、ファイアウォールやVPN製品に脆弱性が発見された際の影響について説明します。

今回の脆弱性は、Palo Alto Networksが提供するPAN-OSの、VPNなどを提供するGlobalProtectの機能に、OSコマンドインジェクションの脆弱性が存在するというものです。影響を受けるシステムは、PAN-OS 11.1.2-h3より前のバージョン、PAN-OS 11.0.4-h1より前のバージョン、PAN-OS 10.2.9-h1より前のバージョンです。なお、GlobalProtectゲートウェイが構成され、かつデバイステレメトリ機能が有効になっている場合に本脆弱性の影響を受けます。影響として、認証されていない遠隔の攻撃者によって、管理者権限で任意のコードが実行できる可能性があるということです。

深刻度を表すCVSSv3の基本値は10.0で、最も高い「緊急」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-3400」で検索してみてください。4月13日時点で、本脆弱性に対する修正バージョンは公開されていませんでしたが、4月14日にPalo Alto Networksから脆弱性のHotfixが公開されましたので、影響を受けるシステムをご利用中の方は直ちに適用を検討してください。また、本脆弱性の影響を受ける機能の一時的な無効化などの緩和策も公開されていますので、何らかの理由でHotfixが適用できない方は、Palo Alto Networksが提供する最新の情報も確認してください。

発見された脆弱性の内容

Hotfixとは、ソフトウェアに発見された脆弱性などを解消するために配布される修正プログラムのうち、問題へ迅速に対応するため緊急に発行されるものです。通常のアップデートよりも小規模であるため、緊急性の高い問題へ迅速に対処することが期待できます。

ただし、Hotfixは開発元による十分な検証が行われていないこともあるため、安定性に欠けたり、他の機能に支障をきたす場合があります。よって、バックアップを取得して、Hotfixを適用する前の状態に戻せるようにすることも必要です。また、Hotfixがすべての問題を解決するとは限りませんので、引き続き、開発元が提供する最新の情報を確認するようにしましょう。

脆弱性の深刻度が高い理由

ファイアウォールやVPN機器で発見された脆弱性の深刻度が高い理由として、影響範囲の広さや、攻撃のされやすさが挙げられます。VPNは、企業や個人がインターネットから内部ネットワークへ安全に接続するために利用するツールです。よって、VPN機器は常にインターネットに接続されている必要があり、脆弱性が特定された際に攻撃対象となりやすいことが想定されます。また、内部ネットワークには多くの機密情報などが保存されている可能性があるため、VPN機器が乗っ取られてしまった場合は、直ちに情報漏洩へつながる可能性もあります。

以上から、VPNの脆弱性が悪用されると、被害を受ける影響範囲が非常に広くなりうるため、脆弱性の深刻度も高くなる傾向にあると考えられます。