概要

Palo Alto Networksは、同社のCortex XDR Broker Virtual Machine (VM)における新規の脆弱性についてセキュリティアドバイザリを発行しました。この脆弱性はCVE-2026-0231と呼ばれ、中程度の深刻度で、認証済みのユーザーがライブターミナルセッションを通じてシステム情報をアクセスおよび変更する可能性があります。

脆弱性の理解

この脆弱性は、システムが特定の管理機能を処理する方法に起因しています。認証されたユーザーは、Cortexユーザーインターフェース (UI) を介してライブターミナルセッションをトリガーすることで、この脆弱性を悪用することができます。アクティブなターミナルセッションを通じて、攻撃者は設定を操作する能力を獲得し、機密データを抽出したり、システムのコアパラメータを変更したりすることができます。

脆弱性の深刻度

この脆弱性は、システムの機密性、整合性、可用性に深刻な影響を与える可能性がありますが、CVSS v4.0の脅威スコアは5.7と評価されています。この中程度の評価は、攻撃を成功させるための厳しい前提条件が存在することを示しています。

攻撃の前提条件

攻撃者は、公開インターネットからランダムに攻撃することはできません。攻撃者は、ブローカVMに対して直接のローカルネットワークアクセスと高度な管理権限を持っている必要があります。これらの条件を満たす場合、攻撃の実行は低難易度であり、さらなるユーザーの操作は不要です。

発見と対応

Palo Alto Networksは、自社のセキュリティ研究プロセスを通じてこの脆弱性を内部で発見しました。現在、悪意のある攻撃の事例は存在しないと確認されています。また、公開のエクスプロイトコードや証明概念はまだ存在していないと報告されています。

脆弱性の影響範囲

この脆弱性は、ソフトウェアの特定バージョンに限定されています。30.0.49以前のバージョンのCortex XDR Broker VMが脆弱です。Palo Alto Networksによると、この範囲内のすべてのインストールが影響を受ける可能性があり、特定または異常なシステム構成は不要です。

対策と解決策

現在、一時的な対策や緩和策は存在せず、公式ベンダーのパッチを適用することが唯一の防御手段です。ネットワーク管理者は以下の手順を直ちに実施する必要があります：

• 影響を受けるシステムをCortex XDR Broker VMバージョン30.0.49またはそれ以降に更新する。
• 自動アップグレードが有効になっているか確認し、必要に応じて自動アップグレードを有効にする。
• 自動アップグレードが無効になっている場合、遅延なくすべての将来のセキュリティパッチが配布およびインストールされるようにする。

---

元記事: https://gbhackers.com/palo-alto-cortex-xdr-broker-vulnerability/