PAN-OSはPalo Alto Networksの次世代ファイアウォールで動作するOSです。
このOSに適用する新しい更新が2つ案内されています。
- CVE-2024-0012
PAN-OS管理Webインターフェイスで見つかった認証バイパスです。
CVSSベーススコアは、9.3です。
リモートの攻撃者がこれを悪用して、認証やユーザーの操作を必要とせずに管理者権限を取得できる可能性があります。 - CVE-2024-9474
PAN-OSの権限昇格のセキュリティ上の欠陥です。
CVSSベーススコアは、6.9です。
悪意のあるPAN-OS管理者がルート権限でファイアウォール上でアクションを実行できるようになります。
どちらもリモートからのコード実行につながる脆弱性となっていて、どちらもすでに実際に悪用されていることが確認されているものとなっています。
そして、これらの脆弱性は広いバージョン範囲の製品に及びます。
脆弱性の悪用の前提として、PAN-OS管理Webインターフェイスが外部に公開されているという点があります。
通常に考えると、こういった構成は推奨ではありませんので、この条件に該当するシステムはそこまで多くはないのではないかとも思うわけですが、実際には、数多くのシステムが管理インターフェースを外部公開した状態で設置されて運用されています。
調査の仕方によって異なりますが、たとえば11,000台以上のPAN-OSを搭載した機器が外部公開された状態で動作しています。
このなかの何台が脆弱性の影響を受けるバージョンの範囲にあるのかはわかりませんが、これらの脆弱性が大丈夫だからといって安心できるものとは思えません。
適切なパッチケイデンスでの運用ができている、資産管理が行き届いていて十分に管理できている、といったことも重要なのですが、そもそもとして安全なシステム構成となっているかを確認することが重要です。
システムの構築時には安全性を考慮した状態にできていたとしても、運用の中で拡張された結果、期待する状態とならなくなってしまっているケースもあるのではないでしょうか。
システム構成の妥当性の確認も、定期的な運用の中に組み込むことがよさそうです。
CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)
https://security.paloaltonetworks.com/CVE-2024-0012
CVE-2024-9474 PAN-OS: Privilege Escalation (PE) Vulnerability in the Web Management Interface
https://security.paloaltonetworks.com/CVE-2024-9474
この記事をシェア |
---|