Last Updated on 2024-11-09 08:47 by admin
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年11月7日(木)、Palo Alto Networks社のExpeditionに影響を与える重大な脆弱性(CVE-2024-5910)が積極的に悪用されていることを報告した。
この脆弱性の深刻度はCVSSスコア9.3で、Expeditionの全バージョン(1.2.92未満)に影響する。Expeditionは、CheckpointやCiscoなどのサードパーティベンダーからPalo Alto Networks製品への設定移行を容易にするツールである。
脆弱性の詳細:
- 発見者:Brian Hysell(Synopsys Cybersecurity Research Center)
- 影響:認証機能の欠如により、ネットワークアクセス権を持つ攻撃者が管理者アカウントを乗っ取り可能
- 修正版:バージョン1.2.92(2024年7月にリリース)
同時にCISAは以下の2つの脆弱性も報告した:
- Androidフレームワークの権限昇格の脆弱性(CVE-2024-43093)
- CyberPanelの重大な欠陥(CVE-2024-51567、CVSSスコア10.0)
- 2023年10月末時点で22,000以上のCyberPanelインスタンスがPSAUXランサムウェアの標的に
- 3つの異なるランサムウェアグループによる攻撃を確認
CISAは連邦機関に対し、2024年11月28日までにこれらの脆弱性への対応を完了するよう勧告している。
なお、Palo Alto Networks社はExpeditionの主要機能を新製品に移行し、2025年1月からはサポートを終了する予定である。
from:CISA Alerts to Active Exploitation of Critical Palo Alto Networks Vulnerability
【編集部解説】
この脆弱性が特に注目される理由は、Expeditionというファイアウォール設定移行ツールの性質にあります。企業のセキュリティ基盤を構築する際、最も重要な作業の一つが「ファイアウォールの設定」です。Expeditionは、CheckPointやCiscoなど他社製品からPalo Alto Networks製品への移行を支援するツールとして、多くの組織で利用されてきました。
この脆弱性が深刻なのは、移行作業中の設定データや認証情報が攻撃者に漏洩するリスクがあるためです。さらに、Horizon3.aiの研究者が発見した関連する脆弱性(CVE-2024-9464)と組み合わせることで、リモートからの任意のコマンド実行も可能になることが判明しています。
特筆すべきは、このツールが2025年1月にサポート終了を迎える予定だという点です。多くの組織が移行作業の完了を急ぐ中でのセキュリティ問題であり、時期的にも非常に微妙な状況といえます。
また、この事例は「移行ツール自体のセキュリティ」という新たな観点を提起しています。通常、セキュリティ対策というと本番環境の保護に注目が集まりがちですが、移行作業中の一時的なツールもまた、重要な攻撃対象となり得ることを示しています。
対策として、Palo Alto Networksは以下の3段階のアプローチを推奨しています:
- バージョン1.2.92以降への即時アップグレード
- すべての認証情報の総入れ替え
- Expeditionへのネットワークアクセスの厳格な制限
この事例は、デジタルトランスフォーメーションを進める企業に重要な教訓を示しています。システム移行は避けられない作業ですが、その過程で使用するツールのセキュリティも、本番環境と同様に重要視する必要があるのです。