BSI は次のように警告しています: PAN-OS オペレーティング システムには、CVSS 値が 10.0 点中 10 と評価された明らかな重大な脆弱性があります。企業は直ちに行動し、今後のパッチを適用するか、利用可能な回避策を使用する必要があります。
BSI (連邦情報セキュリティ局) によると、12 年 2024 月 2024 日、パロアルトネットワークス社は、メーカーのファイアウォールのオペレーティング システムである PAN-OS で積極的に悪用されている脆弱性に関する勧告を発表しました。 CVE-3400-10.0 として識別されるこの脆弱性は、GlobalProtect ゲートウェイ機能における OS コマンド インジェクションで、認証されていないリモート攻撃者がファイアウォール上で root 権限でコードを実行できるようになります。この脆弱性は、共通脆弱性スコアリング システム (CVSS) に従って、最高値 4.0 (「重大」、CVSS XNUMX) と評価されました。
影響を受けるファイアウォールとオペレーティング システム
CVE-2024-3400 の脆弱性は、ファイアウォールに次のような影響を与えます。
- バージョン 11.1-h11.1.2 未満の PAN-OS 3
- バージョン 11.0-h11.0.4 未満の PAN-OS 1
- バージョン 10.2-h10.2.9 未満の PAN-OS 1
GlobalProtect ゲートウェイが構成され、テレメトリ機能が有効になっている場合.
前述の構成のいずれかがアクティブ化されていない場合、悪用することはできません。 PAN-OS の古いバージョン (10.1、10.0、9.1、および 9.0)、クラウド ソリューション NGFW、Panorama Appliances、および Prisma Access は影響を受けません。
パッチ (11.1.2-h3、11.0.4-h1、10.2.9-h1) アドバイザリーの情報によると 14 年 2024 月 XNUMX 日にリリースされる予定です。パロアルトネットワークスは、この脆弱性を利用した限られた数の攻撃を観察していると述べている。
簡単な対策と回避策
現在利用可能なパッチはありません。ただし、これらはおそらく 14 年 2024 月 XNUMX 日から利用可能になるはずです。
オペレーターは、脆弱性の影響を受けるかどうかをすぐに確認する必要があります。これを行うには、Web インターフェイスの [ネットワーク] > [GlobalProtect] > [ゲートウェイ] で「GlobalProtect ゲートウェイ」が構成されているかどうか、および [デバイス] > [セットアップ] > [テレメトリ] でテレメトリ機能が有効になっているかどうかを確認できます。この場合は、パロアルトが推奨する回避策のいずれかを早急に使用する必要があります。
回避策1
教育機関は影響を受けるデバイスのテレメトリ機能を無効にする必要がありますPAN-OSのバージョンが更新されるまで。アップデートをインストールした後、テレメトリ オプションを手動で再度有効にする必要があります。
回避策2
パロアルトの脅威防御サービスを使用している機関は、脅威 ID 95187 を有効にすることで攻撃をブロックできます。 さらに、GlobalProtect インターフェイスで脆弱性保護を有効にする必要があります。.
ファイアウォールはすでに攻撃されていますか?
ファイアウォールがすでに侵害されているかどうかを確認するには、パロアルトネットワークス カスタマー サポート ポータル (CSP) で。「テクニカル サポート ファイル」(TSF) をアップロードし、脆弱性が悪用されていないかチェックしてもらいます。
詳細は BSI.Bund.de をご覧ください
連邦情報セキュリティ局 (BSI) について 連邦情報セキュリティ局 (BSI) は、連邦のサイバー セキュリティ機関であり、ドイツにおける安全なデジタル化の設計者です。 ミッション ステートメント: BSI は、連邦のサイバー セキュリティ機関として、州、企業、社会の防止、検出、および対応を通じて、デジタル化における情報セキュリティを設計します。