概要
インターネット全体でスキャン活動が活発化しており、脅威アクターがPalo Alto Networks PAN-OSのGlobalProtectにおける重大な脆弱性「CVE-2024-3400」を悪用しようと積極的に調査していることが明らかになりました。SANS ISCのセキュリティ研究者らは、単一のIPアドレス(141.98.82.26)がGlobalProtectポータルのファイルアップロードエンドポイントを体系的に標的とし、ファイアウォール上にセッションファイルを配置・取得しようとしていることを観測しています。
脆弱性の詳細
この脆弱性は、CVSS 4.0スコアが10.0という最高評価を受けており、Palo Alto Networksからも「HIGHEST」の緊急度評価が与えられています。攻撃は以下の2つの簡単なステップで実行されます。
- まず、攻撃者は操作されたセッションIDを含むPOSTリクエストを
/ssl-vpn/hipreport.espに発行し、GlobalProtectディレクトリ内にファイルの作成を強制します。 - 次に、そのファイルのパスに対するGETリクエストを送信し、サーバーが「403」ステータスで応答することで、ファイルが存在することを確認します(コードは実行されません)。
実際の攻撃シナリオでは、攻撃者はこれをコマンド実行が可能な別の場所と連鎖させ、ファイアウォールに対するrootレベルの制御を達成する可能性があります。
影響を受けるバージョン
この脆弱性は、GlobalProtectポータルまたはゲートウェイが設定されている以下のPAN-OSバージョンに影響を与えます。
- 10.2 (10.2.0-h3未満から10.2.9-h1未満)
- 11.0 (11.0.0-h3未満から11.0.4-h1未満)
- 11.1 (11.1.0-h3未満から11.1.2-h3未満)
Cloud NGFW、Panorama、およびPrisma Accessは影響を受けません。
脅威の現状と緊急性
概念実証(PoC)コードはすでに公開されており、悪用後の永続化手法も実証されています。広範なスキャン活動が進行中であるにもかかわらず、PoCの悪用を超えた広範囲な実世界での攻撃はまだ報告されていません。しかし、自動化の容易さ、認証が不要であること、およびネットワークからアクセス可能であるという脆弱性の性質から、日和見的な攻撃者や自動化されたボットネットにとって格好の標的となっています。
推奨される対策
この問題は、潜在的なシステム全体の侵害を防ぐために、最大限の緊急性をもって対処する必要があります。
即時パッチ適用とアップグレード
Palo Alto Networksは、PAN-OS 10.2.9-h1、11.0.4-h1、および11.1.2-h3で修正プログラムをリリースしており、他のメンテナンスリリース向けにもいくつかのホットフィックスを提供しています。管理者は直ちにアップグレードすることが強く推奨されます。
脅威防御シグネチャの展開
Threat Preventionサブスクリプションをお持ちの組織は、シグネチャ95187、95189、および95191を展開することで、GlobalProtectインターフェースでの悪用試行をブロックできます。
監視と検出
パッチが適用されるまで、防御側はGlobalProtectエンドポイントでhipreport.espおよび/global-protect/portal/images/への異常なPOSTまたはGETリクエストを監視する必要があります。ネットワーク侵入検知システム(NIDS)は、異常なユーザーエージェント文字列や繰り返される404/403応答パターンに対してアラートを発するように設定する必要があります。
侵害されたデバイスへの対応
侵害された可能性のあるデバイスで完全に信頼できない場合は、Palo Alto Networksカスタマーサポートを通じて強化された工場出荷時リセット手順が利用可能です。
注意: デバイステレメトリの無効化は、もはや効果的な緩和策とは見なされていません。