Palo Alto Networksは11月15日(米国時間)、「PAN-SA-2024-0015 Critical Security Bulletin: Ensure Access to Management Interface is Secured」において、同社のセキュリティ特化型オペレーティングシステム「PAN-OS」の管理Webインタフェースにゼロデイの脆弱性が存在し、この脆弱性を悪用するサイバー攻撃を確認したと報じた。

この脆弱性を悪用されると、認証していないリモートの攻撃者にコマンドを実行される可能性がある。

  • PAN-SA-2024-0015 Critical Security Bulletin: Ensure Access to Management Interface is Secured

    PAN-SA-2024-0015 Critical Security Bulletin: Ensure Access to Management Interface is Secured

進行中の攻撃

この脆弱性を悪用した攻撃は現在進行中とされる。Palo Alto Networksは11月8日に脆弱性の存在について情報を開示したが、15日に攻撃を確認したとして重大度を引き上げた。また、16日に攻撃元のIPアドレスを特定したとして、次の3件のIPアドレス範囲を公開した。

  • 136.144.17[.]*
  • 173.239.218[.]251
  • 216.73.162[.]*

これらIPアドレス範囲はサードパーティーベンダーが提供しているVPN(Virtual Private Network)の可能性があり、その場合は正当な通信も含まれる可能性がある。そのため、無条件でブロックすることは推奨されていない。

この攻撃では、侵害されたデバイスからWebシェルが検出されている。Palo Alto Networksが確認したWebシェルのハッシュ値は次のとおり。

  • 3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668

なお、本稿執筆時点の推測として、この脆弱性は同社製品の「Prisma Access」および「Cloud NGFW」には影響しないとみられている。

対策

Palo Alto Networksは脆弱性の深刻度を緊急(Critical)と評価しており注意が必要。PAN-OSの管理Webインタフェースをインターネットに公開している顧客に対し、インターネットからのアクセスを禁止、または制限することを推奨している。

具体的な設定手順は「Tips & Tricks: How to Secure the Management Access of Your Palo Alto Networks Device | LIVEcommunity」から確認することができる。

本稿執筆時点で、脆弱性の詳細は明らかになっておらず、修正パッチも提供されていない。PAN-OSを運用している管理者には、デバイスをインターネットに公開しているか確認し、必要に応じて上記対策を実施することが望まれている。