PAN-OSはPalo Alto Networksの次世代ファイアウォールで動作するOSです。
このOSに適用する新しい更新が2つ案内されています。
- CVE-2024-0012
PAN-OS管理Webインターフェイスで見つかった認証バイパスです。
CVSSベーススコアは、9.3です。
リモートの攻撃者がこれを悪用して、認証やユーザーの操作を必要とせずに管理者権限を取得できる可能性があります。 - CVE-2024-9474
PAN-OSの権限昇格のセキュリティ上の欠陥です。
CVSSベーススコアは、6.9です。
悪意のあるPAN-OS管理者がルート権限でファイアウォール上でアクションを実行できるようになります。
どちらもリモートからのコード実行につながる脆弱性となっていて、どちらもすでに実際に悪用されていることが確認されているものとなっています。
そして、これらの脆弱性は広いバージョン範囲の製品に及びます。
脆弱性の悪用の前提として、PAN-OS管理Webインターフェイスが外部に公開されているという点があります。
通常に考えると、こういった構成は推奨ではありませんので、この条件に該当するシステムはそこまで多くはないのではないかとも思うわけですが、実際には、数多くのシステムが管理インターフェースを外部公開した状態で設置されて運用されています。
調査の仕方によって異なりますが、たとえば11,000台以上のPAN-OSを搭載した機器が外部公開された状態で動作しています。
このなかの何台が脆弱性の影響を受けるバージョンの範囲にあるのかはわかりませんが、これらの脆弱性が大丈夫だからといって安心できるものとは思えません。
適切なパッチケイデンスでの運用ができている、資産管理が行き届いていて十分に管理できている、といったことも重要なのですが、そもそもとして安全なシステム構成となっているかを確認することが重要です。
システムの構築時には安全性を考慮した状態にできていたとしても、運用の中で拡張された結果、期待する状態とならなくなってしまっているケースもあるのではないでしょうか。
システム構成の妥当性の確認も、定期的な運用の中に組み込むことがよさそうです。
CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)
https://security.paloaltonetworks.com/CVE-2024-0012
CVE-2024-9474 PAN-OS: Privilege Escalation (PE) Vulnerability in the Web Management Interface
https://security.paloaltonetworks.com/CVE-2024-9474
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
サイバー領域
- 企業・組織のサプライチェーンを守る:経済産業省が新たなセキュリティ対策評価制度(格付け)の構築へ
- ※「サプライチェーン強化に向けたセキュリティ対策評価制度」は、2024年9月現在検討中の項目です。詳細は経済産業省より発表される最新の情報をご確認ください。 Bitsightと他...
-
サイバー領域
- Bitsightを活用して、経済産業省の「 ASM(Attack Surface Management) 導入ガイダンス」を実践しましょう
- この記事はBitsightのブログを日本語に翻訳したものです。2023年5月に発表した経済産業省の「 ASM(Attack Surface Management) 導入ガイダンス...