昨年12月に投稿した「緊急警告: 続発するVPN機器とネットワーク機器における深刻な脆弱性とその対策」において、VPN機器とネットワーク機器Web管理インタフェースにおける脆弱性の悪用は今後も続く恐れがあると記載しましたが、今年に入り1月にIvanti Connect SecureおよびIvanti Policy Secure、4月にPalo Alto Networks社のPAN-OSに相次いで脆弱性の公表が続いています。どちらの脆弱性も公表時点で悪用が確認されていただけでなく、瞬く間に広範囲な悪用が発生しています。Ivantiの脆弱性については、「新たな脅威、VPN機器のゼロデイ脆弱性とその対策」で取り上げていますので、今回はPAN-OSの脆弱性について整理するとともに、VPN機器におけるゼロデイ脆弱性への対策についてアップデートを行います。
目次
PAN-OS GlobalProtect の脆弱性 CVE-2024-3400
2024年4月12日、Palo Alto Networksは、ファイヤウォール向けOSであるPAN-OSのGlobalProtect機能におけるコマンドインジェクションの脆弱性CVE-2024-3400を公表しました。GlobalProtect機能はVPNなどのリモートアクセスを提供する機能です。脆弱性の内容は以下のとおりです。
CVE-2024-3400:GlobalProtect機能におけるOSコマンドインジェクションの脆弱性
【OSコマンドインジェクションとは】
OSコマンドインジェクション(Operating System Command Injection)は、外部からのリクエストによってOS(オペレーティングシステム)のコマンドが実行されてしまう脆弱性です。この脆弱性は、ユーザから送信されたデータを適切に検証せず、直接OSのコマンドとして実行してしまう場合に発生します。例えば、ファイル名を受け取り、そのファイルの内容を表示するシンプルな処理があるとします。ここに、「document.pdf; rm -rf /」 を渡すと「document.pdf」を表示した後に「;」によって区切られた「rm -rf /」というコマンドが実行されてしまいます。
この脆弱性によって、リモートの認証されていない攻撃者が、root権限で任意のコードを実行できる可能性があります。
CVSS Base Score: CVSSv3 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
影響を受ける製品と条件
PAN-OS 11.1, 11.0, 10.2
GlobalProtectゲートウェイまたはGlobalProtectポータル(もしくはその両方)が設定
公表時点では、影響を受ける条件としてデバイステレメトリ機能が有効であることが記載されていましたが、4月17日にこの条件は取り消されました。デバイステレメトリ機能の無効化は当初回避策としても案内されており、デバイステレメトリ機能が無効であるから影響なしと判断したり、デバイステレメトリ機能が無効化を回避策として運用されていた場合は、侵害有無の確認を検討下さい。
脆弱性の悪用状況
脆弱性の悪用に関する情報ですが、4月12日の公表時点では、Palo Alto Networks 社は複数の悪用が確認されていると報告していましてが、4月17日には脆弱性の悪用が増加していると変更しました。JPCERT/CCも注意喚起を更新し、『2024年4月14日(日本時間)頃以降、国内組織において本脆弱性を悪用する通信が複数観測されている状況をJPCERT/CCは確認しています。』と報告しています。加えて、日本の某セキュリティベンダーも4月14日から本脆弱性を悪用する攻撃を検知し、4月17日からは脆弱性を悪用した攻撃が無差別に行われていると報告しています。
本脆弱性の対応には侵害有無の調査が必須
脆弱性に対応したホットフィックスは4月14日から4月18日にかけて順次リリースされていますが、同じ期間に日本においても広範囲な悪用が発生していたようです。加えて、回避策には脅威防御サブスクリプション契約が必要であることを考えると、多くの機器が脆弱性の悪用を試みる通信を受けていると思われるため、影響のある機器をお使いの場合は、侵害有無の調査が必須です。今からでも遅くありません。侵害を検出する方法、侵害が疑われる場合の対応方法、復旧方法などに関する情報はPalo Alto Networks社から提供されていますので、最新の情報をご確認の上、調査や対応を実施下さい。
攻撃のステップ
あるセキュリティベンダーによる事例の分析によると、攻撃は以下のステップに分けられます。
1.攻撃基盤の構築(脆弱性を悪用しツールをダウンロードし起動する)
2.機器内の情報を窃取
3.ネットワーク内への侵入
最初のステップである攻撃基盤の構築ですが、攻撃者は脆弱性を悪用しコマンドを実行することで、ツールをダウンロードしたり、ツールの起動に必要な設定を行ったり、ツールを起動したりします。ツールとは攻撃者からの指令を受け結果をリターンするものでバックドアとも呼ばれたりしますが、通信方向によってインバウンド型とアウトバウンド型に分けることができ、PAN-OSの事例では両方のツールが使われています。1月のIvantiの事例ではインバウンド型であるWebシェルが使われています。インバウンド型のツールは通常通信と通信の種類や方向が同じであり通信制御は難しいですが、通信内容に特徴があるため検知は可能です。一方、アウトバウンド型のツールは通信制御が可能です。また、どちらの事例も最初のツールのダウンロードはwget等のコマンドによるアウトバウンドの通信です。
<VPN機器の侵害における攻撃遷移>
VPN機器が侵害されることを前提とした対策の必要性
VPN機器におけるゼロデイ脆弱性や脆弱性公表後すぐに悪用が発生する状況は今後も継続する恐れがあり、以下のような対策が必要です。
1.脆弱性情報のタイムリーな収集
JPCERT/CCの注意喚起やIPAの重要なセキュリティ情報、米CISAのKEV(Known Exploited Vulnerabilities Catalog)を定期的にチェックします。これらの情報や開発元のアドバイザリーの更新も見逃さずチェックする必要があります。
2.脆弱性への迅速な対応と侵害有無の確認
バージョンアップ等の対応を3日前後で実施したり、侵害有無の確認を実施したりできる保守契約やメンテナンス体制が必要です。迅速な対応のためにはテスト機や予備機も必要です。
3.Web管理インタフェースの非公開やアクセス制御の実施
ネットワーク機器全般に言えることですが、Web管理インタフェースの脆弱性が増えており、Web管理インタフェースがある場合、非公開化やアクセス制御を実施することが望ましいです。
4.脆弱性が悪用されたり侵害されたりすることを前提とした対策
VPN機器とインターネットやVPN機器と内部ネットワークとの通信を必要最小限に制限します。特にVPN機器からインターネットへのアウトバウンド通信を制限することは、脆弱性を悪用されてもツール等のダウンロードを阻止することが期待できます。そして、VPN機器やファイヤウォールのログを確認できる体制を整備します。ログの定期的なチェックが実施できればなお好ましいです。
特に、脆弱性が悪用されたり侵害されたりすることを前提とした対策の必要性が高まっています。
<脆弱性が悪用されたり侵害されたりすることを前提とした対策の概念図>
VPN機器の脆弱性は、明らかに、これまで経験したことがない次元に入っています。タイムリーな情報収集と迅速な対応はいうまでもなく、脆弱性が悪用されたり機器が侵害されたりすることを前提とした対策を可能なものから順次実施することを検討いただければと思います。
[参考URL]
Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2024/at240009.html
CVE-2024-3400 PAN-OS: Arbitrary File Creation Leads to OS Command Injection Vulnerability in GlobalProtect(Palo Alto Networks)
https://security.paloaltonetworks.com/CVE-2024-3400
北尾 辰也
コンサルタント、フリーライター。
三菱UFJ銀行で12年間サイバーセキュリティに従事し、その後、Transmit Security 日本支社共同代表を経て独立。現在はサイバーセキュリティに関するコンサルティングやアドバイザー業務を行うとともに、国土交通省最高セキュリティアドバイザーや日本シーサート協議会専門委員、⾦融ISAC個⼈賛助会員として活動している。