CISA

本日、サイバーセキュリティ企業のパロアルトネットワークスは、PAN-OS管理インターフェイスにリモート・コード実行の脆弱性が存在する可能性があるとして、次世代ファイアウォールへのアクセスを制限するよう顧客に警告した。

同社は、金曜日に発表したセキュリティ勧告の中で、このセキュリティ上の欠陥とされる部分に関する追加情報はまだ入手していないと述べるとともに、積極的な悪用の兆候はまだ検知していないと付け加えた。

「Palo Alto Networksは、PAN-OS管理インターフェイス経由でリモート・コード実行の脆弱性があるという主張を認識しています。現時点では、主張されている脆弱性の詳細については把握していません。当社は、悪用の兆候を積極的に監視しています

「弊社は、管理インターフェイスへのアクセスが、弊社が推奨するベストプラクティスの導入ガイドラインに従って正しく設定されていることを確認するよう、お客様に強くお勧めします。

「ASMモジュールを搭載したCortex XpanseおよびCortex XSIAMの顧客は、Palo Alto Networks Firewall Admin Login攻撃サーフェスルールによって生成されたアラートを確認することによって、インターネットに公開されたインスタンスを調査することができます。

同社は、インターネットからファイアウォールのPAN-OS管理インターフェイスへのアクセスをブロックし、信頼できる内部IPアドレスからの接続のみを許可するよう顧客に助言した。

Palo Alto Networks のコミュニティウェブサイトに掲載されている別のサポート文書によると、管理者は、管理インターフェイスの露出を減らすために、以下の対策を 1 つ以上講じることもできます:

  • 管理インターフェイスを専用の管理 VLAN に隔離する。
  • ジャンプサーバを使用して管理 IP にアクセスします。ファイアウォール/Panorama にログインする前に、ユーザがジャンプサーバに認証接続する。
  • 管理インターフェイスへのインバウンド IP アドレスを承認された管理デバイスに限定する。これにより、予期しない IP アドレスからのアクセスを防ぎ、盗まれた認証情報を使用したアクセスを防止することで、攻撃対象領域を減らすことができます。
  • SSH や HTTPS などの保護された通信のみを許可する。
  • インターフェイスへの接続性をテストするための PING のみを許可する。

攻撃で悪用される重大な認証ミスの欠陥

木曜日、CISAはまた、CVE-2024-5910として追跡されているPalo Alto Networks Expeditionの重大な認証欠落の脆弱性を悪用した攻撃が進行中であることを警告した。このセキュリティ上の欠陥は7月にパッチが適用されており、脅威者はこれをリモートで悪用して、インターネットに公開されたExpeditionサーバーのアプリケーション管理者認証情報をリセットすることができます。

CISAはこれらの攻撃について詳細を明らかにしなかったが、Horizon3.aiの脆弱性研究者であるZach Hanley氏は先月、脆弱なExpeditionサーバー上で「認証されていない」任意のコマンドを実行するために、コマンド・インジェクションの脆弱性(CVE-2024-9464として追跡されている)と連鎖させた概念実証のエクスプロイトをリリースした。

CVE-2024-9464 は、10 月に Palo Alto Networks が対処した他のセキュリティ欠陥とも連鎖させることができ、管理者アカウントを乗っ取り、PAN-OS ファイアウォールを乗っ取ることができます。

米国のサイバーセキュリティ機関はまた、CVE-2024-5910の脆弱性をKnown Exploited Vulnerabilities Catalogに 追加し、連邦政府機関に対し、11月28日までに3週間以内に攻撃からシステムを保護するよう命じた。

「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」とCISAは警告している。