【脆弱性】PAN-OS(paloalto実装OS) CVE-2024-3400 について

はじめに

　2024年4月中頃にPaloaltoの脆弱性で気になる情報が有りました。ホームページの役になりますが何かのお役に立てればと思います。本事象は以下の2つのことができたことによる影響となります。本noteは、海外国内を含めた記事を日本語である程度分かりやすく記載したものになります。
2024年5月6日時点ですが書いていて、この記事で100円で提供しています。今後金額を買えるかもしれませんが、セキュリティについても記載していますので価格以上の記事だと考えています。
　もしも、会社の後輩が記事を買うかどうかで言うと「買いたい」、「知りたい」ノウハウが詰まっていると思います。

※本noteは、一般的に開示されている資料を集めたものになります。アップデートや何が問題なのかを知りたい方は、セキュリティ専門の企業問い合わせをお願いします。

グローバルプロテクトを利用するだけで以下の2つの動作が起きてしまいます。
1つ目は、GlobalProtectサービスが、セッションIDを保存する前にセッションIDフォーマットの検証を十分に行わなかったことです。
2つ目のバグは、コマンドの一部としてファイル名を利用できましたこと。

私が記載したnote内のPaloalto社に関するメモ

1,000 億ドルへの競争: パロアルトネットワークスの物語

PaloaltoPA220のファームアップとかダウンとか

2023年9月時点のまとめ(セキュリティについてとPANW Q4 FY2023)

【注意事項】

・この記事は,deeplによる翻訳やChatGPTやClaude等、生成AIで要約した記事です。生成AIの性質上、翻訳や要約の過程において情報の正確性、完全性が損なわれる可能性が大いにあります。
　当記事の正確性、完全性はお約束できませんのでご了承ください。当記事の利用によって発生したいかなるトラブル・損失に対して、当方は一切責任を負いません。ファクトチェック等も一切行いません。当記事はあくまで参考程度にご使用下さい。当記事のみによっての投資判断は絶対に行わないで下さい。

More on the PAN-OS CVE-2024-3400

PAN-OS CVE-2024-3400 の詳細について
https://www.paloaltonetworks.com/blog/2024/04/more-on-the-pan-os-cve/　　より
以下日本語訳メモ
2024年4月10日、パロアルトネットワークス製品セキュリティインシデント対応チーム(PSIRT)は、Volexity社のSteven Adair氏が顧客サイトで不審な流出を試みていることを知りました。当社のPalo Alto Networks製品セキュリティ リサーチ リードであるChristopher GanasとUnit 42の脅威リサーチ リードであるKyle Wilhoitは、Volexityのチームとともに直ちにこの問題を調査しました。
　彼らはすぐに、不審なトラフィックはファイアウォールから発生しており、危殆化したファイアウォールによるおそらく新しいゼロデイ脆弱性の悪用を反映していると判断しました。

　その後数時間で、私たちのチームは全社から専門家を集め、会社の確立されたプロトコルと業界のベスト・プラクティスの一環として、迅速かつ断固とした行動をとりました。私たちはフォレンジック調査を実施し、脆弱性の根本原因を特定し、悪用されたペイロードの手口を理解し、当社製品の保護を有効にするためのさまざまなオプションを決定しました。さらに、回避策や脅威防御シグネチャを検討し、システムを侵害されやすくする設定の正確な組み合わせを特定しました。

　脆弱性を確認してから24時間以内に、既知の攻撃をブロックするテスト済みの緩和策をリリースし、お客様を直ちに保護できるようにしました。これらの緩和策は、アクティブな影響を受けやすいデバイスの約 90% に適用されていることが確認されています。

　Palo Alto Networks は、包括的なソリューションを確保しながら、さらなる攻撃を防止するための迅速かつ完全な修復を提供するため、総力を挙げて対応しました。

問題は何か？

　この複雑な脆弱性は、PAN-OSの2つのバグの組み合わせに起因しています。1つ目は、GlobalProtectサービスが、セッションIDを保存する前にセッションIDフォーマットの検証を十分に行わなかったことです。攻撃者は、選択したファイル名で空のファイルを保存することができました。
2つ目のバグは、コマンドの一部としてファイル名を利用できましたこと。どちらのバグもシステムに大きなダメージを与えるものではないが、この組み合わせにより、認証されていないリモート・シェル・コマンドの実行が可能となる。

悪用の方法は？(How Was It Exploited?)