概要
Palo Alto Networksは、
同社のPAN-OSに存在する深刻度「高」のサービス運用妨害(DoS)脆弱性(
CVE-2026-0227)に対処するためのセキュリティアップデートを公開しました。
この脆弱性悪用により、認証されていない攻撃者がGlobalProtectが設定されたファイアウォールを繰り返しクラッシュさせ、メンテナンスモードに移行させることで、ネットワークの可用性を阻害する可能性があります。
脆弱性の詳細
この脆弱性は、GlobalProtectゲートウェイまたはポータルのPAN-OS実装における異常または例外的な状態に対する不適切なチェック(CWE-754、CAPEC-210)が原因で発生します。CVSSv3スコアは8.7、CVSSv4スコアは7.7 (CVSS-BT) / 8.7 (CVSS-B)と評価されています。
認証されていないリモート攻撃者は、ネットワーク経由でこのロジックの欠陥を悪用し、DoS状態を引き起こすことができます。これにより、標的のファイアウォールはトラフィック処理を停止し、繰り返し悪用された場合、メンテナンスモードに入り、正常な運用を回復するために管理者の介入が必要となります。
この問題は、PAN-OS次世代ファイアウォール(NGFW)またはGlobalProtectゲートウェイやポータルが有効になっているPrisma Accessテナントでのみ露呈します。GlobalProtectを使用していない環境は影響を受けません。
Palo Alto Networksは、これまでのところ悪用された証拠はないと報告していますが、概念実証(PoC)エクスプロイトが存在することを指摘しており、緊急度は「中」とされています。
影響を受けるバージョンと対策
この脆弱性は、以下のPAN-OSおよびPrisma Accessのバージョンに影響を与えます。
- PAN-OS 10.1系(10.1.14-h20より前のバージョン)
- PAN-OS 10.2系(10.2.7-h32、10.2.10-h30、10.2.13-h18、10.2.16-h6、10.2.18-h1より前のバージョン)
- PAN-OS 11.1系(11.1.4-h27、11.1.6-h23、11.1.10-h9、11.1.13より前のバージョン)
- PAN-OS 11.2系(11.2.4-h15、11.2.7-h8、11.2.10-h2より前のバージョン)
- PAN-OS 12.1系(12.1.0~12.1.3、および12.1.3-h3より前のバージョン)
- Prisma Accessテナント(11.2系は11.2.7-h8より前、10.2系は10.2.10-h29より前)
Cloud NGFWは影響を受けません。
Palo Alto Networksは、最も近い修正済みのPAN-OSメンテナンスリリースにアップグレードすることを推奨しています。例えば、12.1.0~12.1.3のユーザーは12.1.4以降へ、11.2.8~11.2.10のユーザーは11.2.10-h2以降へ、10.2.17~10.2.18のユーザーは10.2.18-h1以降へのアップグレードが必要です。サポート対象外の古いPAN-OSバージョンは、サポートされている修正済みバージョンへのアップグレードが求められます。
この脆弱性に対する回避策や軽減策は利用できないため、GlobalProtectゲートウェイまたはポータルを運用している組織は、このDoS脆弱性による通信障害を回避するために、パッチ適用を最優先する必要があります。