情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 重要なセキュリティ情報
  4. 2024年度
  5. Palo Alto Networks 製 PAN-OS の脆弱性対策について(CVE-2024-3400)

Palo Alto Networks 製 PAN-OS の脆弱性対策について(CVE-2024-3400)

公開日:2024年4月15日

最終更新日:2024年4月19日

注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Palo Alto Networks 社より、PAN-OS の GlobalProtect 機能に関する脆弱性が公表されました。

この PAN-OS の GlobalProtect 機能において、リモートからのコード実行の脆弱性が確認されています。

本脆弱性を悪用された場合、認証されていない遠隔の第三者によって、ファイアウォール上の root 権限で任意のコードを実行される可能性があります。

--- 2024年 4 月 19 日更新 ---
製品開発者から本脆弱性の影響を受けるすべてのバージョン向けにホットフィックスが提供されています。
製品開発者は、本脆弱性を悪用する攻撃を確認していると公表しています。
今後被害が拡大するおそれがあるため、製品開発者が公表している手順に従い、ホットフィックスを適用してください。

本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
また、製品開発者より、本脆弱性に対する侵害活動の影響を受けたかどうかの調査方法も提供されています。攻撃の被害を受けていないかご確認いただくことも推奨いたします。

--- 2024年 4 月 17 日更新 ---
製品開発者のアドバイザリが更新され、回避策として、提示されていたデバイステレメトリを無効にすることについて効果的ではなかったと報告されています。

影響を受けるシステム

--- 2024年 4 月 19 日更新 ---

  • PAN-OS 11.1.2-h3 より前のバージョン
  • PAN-OS 11.1.1-h1 より前のバージョン
  • PAN-OS 11.1.0-h3 より前のバージョン
  • PAN-OS 11.0.4-h1 より前のバージョン
  • PAN-OS 11.0.3-h10 より前のバージョン
  • PAN-OS 11.0.2-h4 より前のバージョン
  • PAN-OS 11.0.1-h4 より前のバージョン
  • PAN-OS 11.0.0-h3 より前のバージョン
  • PAN-OS 10.2.9-h1 より前のバージョン
  • PAN-OS 10.2.8-h3 より前のバージョン
  • PAN-OS 10.2.7-h8 より前のバージョン
  • PAN-OS 10.2.6-h3 より前のバージョン
  • PAN-OS 10.2.5-h6 より前のバージョン
  • PAN-OS 10.2.4-h16 より前のバージョン
  • PAN-OS 10.2.3-h13 より前のバージョン
  • PAN-OS 10.2.2-h5 より前のバージョン
  • PAN-OS 10.2.1-h2 より前のバージョン
  • PAN-OS 10.2.0-h3 より前のバージョン

製品開発者によると、Cloud NGFW、Panorama appliances、および Prisma Access は、この脆弱性の影響を受けないとのことです。

対策

1.脆弱性の解消 - 修正プログラムの適用

製品開発者が提供する情報をもとに、ホットフィックスを適用してください。製品開発者は、本脆弱性を修正した次のホットフィックスをリリースしています。
--- 2024年 4 月 19 日更新 ---

  • PAN-OS 11.1.2-h3
  • PAN-OS 11.1.1-h1
  • PAN-OS 11.1.0-h3
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.0.4-h2
  • PAN-OS 11.0.3-h10
  • PAN-OS 11.0.2-h4
  • PAN-OS 11.0.1-h4
  • PAN-OS 11.0.0-h3
  • PAN-OS 10.2.9-h1
  • PAN-OS 10.2.8-h3
  • PAN-OS 10.2.7-h8
  • PAN-OS 10.2.6-h3
  • PAN-OS 10.2.5-h6
  • PAN-OS 10.2.4-h16
  • PAN-OS 10.2.3-h13
  • PAN-OS 10.2.2-h5
  • PAN-OS 10.2.1-h2
  • PAN-OS 10.2.0-h3

2.脆弱性の暫定的な回避策

--- 2024年 4 月 19 日更新 ---
製品開発者によると、Threat Prevention サブスクリプション契約ユーザーの場合、次の回避策を適用することで、本脆弱性の影響を軽減できるとのことです。
なお、製品開発者は、回避策や緩和策が適用されている場合でも、デバイスを保護するために、修正バージョンにアップグレードすることを推奨しております。

  • Threat ID 95187、95189 および 95191 を使用する
  • GlobalProtect インターフェイスに脆弱性保護が適用されていることを確認する

製品開発者のアドバイザリが更新され、回避策として、提示されていたデバイステレメトリを無効にすることについて効果的ではなかったと報告されています。

詳細については、製品開発者のアドバイサリ等をご確認ください。

3.推奨対応

脆弱性を悪用されて機器が侵害された可能性を調べる方法については、製品開発者が提供するアドバイザリなどの最新の情報をご確認ください。

本情報を発行時点では、脆弱性を悪用する攻撃の被害を受けた可能性があるかを確認する方法として、PAN-OS CLI コマンドの使用が案内されています。
また、同製品のユーザは、カスタマーサポートポータル(CSP)にテクニカルサポートファイル(TSF)をアップロードして、本脆弱性に対する侵害活動の影響を受けたかどうかの調査が可能とのことです。

お問い合わせ先

本件に関するお問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

注釈:個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

関連リンク

更新履歴

  • 2024年4月19日

    国内での攻撃が観測されたため、内容を更新

  • 2024年4月18日

    「影響を受けるシステム」「対策」の内容を更新

  • 2024年4月17日

    「概要」「影響を受けるシステム」「対策」の内容を更新

  • 2024年4月16日

    「影響を受けるシステム」「対策」の内容を更新

  • 2024年4月15日

    掲載