CVE-2024-3400: Palo Alto Networks ファイアウォールに重大なコマンドインジェクションの脆弱性

注：Palo Alto Networksのユーザーは、PAN-OS 10.2、PAN-OS 11.0、および/またはPAN-OS 11.1のファイアウォールを使用しており、GlobalProtectゲートウェイとデバイスのテレメトリの両方の設定が有効になっている場合にのみ脆弱性があります。

Palo Alto Networksのアドバイザリによると、CVE-2024-3400は「限られた数の攻撃」で悪用されています。同社は、この脆弱性に最高の緊急度を与えています。Palo Alto Networks は、攻撃の範囲、侵害の指標、および敵の行動観察に関する詳細なブログを公開しています。ぜひご覧ください。ゼロデイ脆弱性を発見したセキュリティ企業Volexityも、広範な分析、侵害の指標、および観察された攻撃者の行動について、こちらのブログを公開しています。

緩和ガイダンス

CVE-2024-3400は、4月12日（金）現在、パッチが適用されておらず、GlobalProtectゲートウェイおよびデバイスのテレメトリが有効な場合、PAN-OSの以下のバージョンに影響します：

• PAN-OS 11.1 (11.1.2-h3以前)
• PAN-OS 11.0 (11.0.4-h1以前)
• PAN-OS 10.2 (10.2.9-h1以前)

Palo Alto NetworksのCloud NGFWおよびPrisma Accessソリューションは影響を受けません。また、以前のバージョンのPAN-OS（10.1、10.0、9.1、9.0）も影響を受けません。詳細および最新の修正ガイダンスについては、パロアルトネットワークスのアドバイザリを参照してください。

同社は、PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、およびPAN-OS 11.1.2-h3のホットフィックスリリースを4月14日までにリリースし、「それ以降のすべてのPAN-OSバージョン」のホットフィックスもリリースする予定であることを明らかにしているとのことです。

Rapid7 では、ベンダーが提供する以下の緩和策のいずれかを直ちに適用することを推奨します：

• 脅威対策サブスクリプションをご契約のお客様は、脅威 ID 95187（Applications and Threats content version 8833-8682で紹介）を有効にすることで、この脆弱性に対する攻撃をブロックすることができます。脅威ID 95187を有効にすることに加えて、お客様は、デバイス上でこの問題の悪用を防ぐために、GlobalProtectインターフェイスに脆弱性保護が適用されていることを確認する必要があります。詳細はこちらをご覧ください。
• 脅威防御の緩和策を適用できない場合は、デバイスが修正されたPAN-OSバージョンにアップグレードされるまで、デバイスの遠隔測定を一時的に無効にすることで緩和できます。アップグレード後は、デバイスのテレメトリを再度有効にする必要があります。

また、Palo Alto NetworksのブログやVolexityのブログで侵害の指標を確認することをお勧めします。

Rapid7のお客様

本日4月12日（金）のコンテンツリリースより、InsightVMおよびNexposeのお客様に認証済み脆弱性チェックを提供いたします。

ベンダーアドバイザリによると、脆弱性のあるファイアウォールを実行している組織で、その環境で悪用される可能性を懸念している場合は、パロアルトネットワークスのサポートケースを開き、デバイスのログがこの脆弱性の既知の侵害指標（IoC）と一致するかどうかを確認することができます。

更新情報

2024年4月12日（金）：Volexityブログへのリンクを更新しました。VMのコンテンツが利用できるように更新しました。

※本ブログは英語版ブログ "CVE-2024-3400: Critical Command Injection Vulnerability in Palo Alto Networks Firewalls" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。