Palo Altoファイアウォールには、以下のような脆弱性があります。

Published by
Palo Alto Networks、PAN-OSに高リスクの脆弱性(CVE-2024-3393)を発表

最近、Palo Alto Networksは、その次世代ファイアウォールであるPAN-OSソフトウェアに高リスクの脆弱性(CVE-2024-3393)が存在することを明らかにしました。この脆弱性は、認証されていない攻撃者が巧妙に構成されたDNSパケットを送信することにより、DNSセキュリティ機能を利用してサービス拒否(DoS)状態を引き起こす可能性があります。この脆弱性が繰り返し悪用されると、影響を受けたファイアウォールが再起動し、メンテナンスモードに入ることがあります。

PAN-OS vulnerability diagram

問題の根本原因は、PAN-OSのDNSセキュリティ機能が異常な状況に適切に対処できないことです。攻撃者はファイアウォールのデータプレーンを通じて悪意のあるデータパケットを送信し、これによりファイアウォールがクラッシュして再起動する可能性があります。この脆弱性のCVSSスコアは8.7(高)で、破壊的な潜在能力が高いことを示しています。攻撃の複雑さは低く、ユーザーのインタラクションや権限を必要とせず、ネットワーク越しにリモートで実行可能です。

この脆弱性は、複数のバージョンのPAN-OSに影響を与えます:

  • PAN-OS 11.2:バージョン11.2.3未満
  • PAN-OS 11.1:バージョン11.1.5未満
  • PAN-OS 10.2:バージョン10.2.8未満、メンテナンスバージョンには追加の修正あり
  • PAN-OS 10.1:バージョン10.1.14未満

影響を受けるPAN-OSバージョンを使用しているPrisma Accessの顧客にもリスクがあります。Palo Alto Networksは、実稼働環境でこの脆弱性が悪用され、攻撃者がDoS攻撃を引き起こした事例が発生したことを確認しています。

この脆弱性は機密性や完全性には影響しませんが、可用性には大きな影響があります。そのため、これらのファイアウォールをネットワークセキュリティ保護に依存している組織にとっては重要な問題です。

Palo Alto Networksは、以下のバージョンの修正パッチを公開しています:

  • PAN-OS 10.1.14 - h8
  • PAN-OS 10.2.10 - h12
  • PAN-OS 11.1.5
  • PAN-OS 11.2.3

リスクを軽減するために、顧客にはこれらのバージョンまたはそれ以上へのアップグレードが強く推奨されます。

修正をすぐに適用できないユーザー向けの一時的な解決策には、DNSセキュリティログ記録の無効化が含まれます。具体的な手順は次の通りです:

  1. オブジェクト→セキュリティプロファイル→アンチスパイウェア→DNSポリシーに移動します。
  2. すべてのDNSセキュリティカテゴリの「ログの重大性」を「なし」に設定します。
  3. 変更を提出し、修正後に設定を元に戻します。

Palo Altoのファイアウォールを使用している組織は以下の対応を行うべきです:

  • システムを保護するために、すぐにパッチを適用します。
  • パッチを適用できない場合は、推奨される一時的な解決策を実施します。
  • ファイアウォールの挙動を監視し、予期しない再起動やメンテナンスモードの発生を確認します。
  • セキュリティ通知を定期的に確認し、ソフトウェアバージョンを最新に保ちます。

この脆弱性は、修正管理のタイムリーな実施と強力な監視実践の重要性を浮き彫りにしており、これによって新たな脅威からネットワークインフラを守ることができます。