-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2024-0009 JPCERT/CC 2024-04-13(公開) 2024-04-25(更新) <<< JPCERT/CC Alert 2024-04-13 >>> Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 https://www.jpcert.or.jp/at/2024/at240009.html I. 概要 2024年4月12日(現地日付)、Palo Alto Networksは、PAN-OSのGlobalProtect 機能におけるOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する アドバイザリを公開しました。GlobalProtectはリモートアクセス(VPN)など を提供する機能です。本脆弱性の悪用により、認証されていない遠隔の第三者 が、ルート権限で任意のコードを実行する可能性があります。 アドバイザリの公開当時、Palo Alto Networksは、本脆弱性を悪用する攻撃を 限定的に確認しているとのことでしたが、2024年4月17日(現地日付)、本脆 弱性を実証するコード(Proof-of-Concept)が公開され、脆弱性を悪用する攻 撃の増加を確認していると明らかにしました。JPCERT/CCは日本国内から本脆 弱性を悪用する攻撃の被害に関する報告をいただいています。Palo Alto Networksなどが公開する最新の情報をご確認の上、速やかに対策や回避策の 適用をご検討いただき、脆弱性を悪用する攻撃の被害を受けていないかをご確 認いただくことを推奨します。 Palo Alto Networks CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway https://security.paloaltonetworks.com/CVE-2024-3400 ** 更新: 2024年4月25日追記 ******************************************** 「V. 侵害調査方法」の情報を更新し、本脆弱性を悪用する攻撃を受けた場合の 対処方法や手順に関するPalo Alto Networksのリンクを追記しました。 *********************************************************************** II. 対象 対象となるシステムおよびバージョンは次のとおりです。詳細や最新の情報は Palo Alto Networksが提供する情報をご参照ください。 - PAN-OS 11.1:11.1.2-h3より前のバージョン - PAN-OS 11.1:11.1.1-h1より前のバージョン - PAN-OS 11.1:11.1.0-h3より前のバージョン - PAN-OS 11.0:11.0.4-h1より前のバージョン - PAN-OS 11.0:11.0.3-h10より前のバージョン - PAN-OS 11.0:11.0.2-h4より前のバージョン - PAN-OS 11.0:11.0.1-h4より前のバージョン - PAN-OS 11.0:11.0.0-h3より前のバージョン - PAN-OS 10.2:10.2.9-h1より前のバージョン - PAN-OS 10.2:10.2.8-h3より前のバージョン - PAN-OS 10.2:10.2.7-h8より前のバージョン - PAN-OS 10.2:10.2.6-h3より前のバージョン - PAN-OS 10.2:10.2.5-h6より前のバージョン - PAN-OS 10.2:10.2.4-h16より前のバージョン - PAN-OS 10.2:10.2.3-h13より前のバージョン - PAN-OS 10.2:10.2.2-h5より前のバージョン - PAN-OS 10.2:10.2.1-h2より前のバージョン - PAN-OS 10.2:10.2.0-h3より前のバージョン なお、GlobalProtectゲートウェイまたはGlobalProtectポータル(もしくはそ の両方)が設定されている場合に本脆弱性の影響を受けます。設定の確認方法は Palo Alto Networksが提供する情報をご参照ください。 2024年4月17日(現地日付)、同社のアドバイザリが更新され、デバイステレメ トリ機能が有効でなくても本脆弱性の影響を受けると報告されています。 III. 対策 2024年4月15日(現地日付)、Palo Alto Networksは本脆弱性を修正するHotfix の提供を開始しました。提供時期はバージョンにより異なります。Palo Alto Networksのアドバイザリの最新の情報をご確認の上、推奨される対策の適用を ご検討ください。 IV. 回避策、緩和策 本脆弱性に対して、Palo Alto Networksは次の緩和策の適用を推奨しています。 詳細はPalo Alto Networksが提供する最新の情報をご参照ください。 (Threat Preventionライセンス契約ユーザーの場合) - 脅威ID 95187などを有効にする - GlobalProtectインターフェイスに脆弱性保護が適用されていることを確認する 2024年4月17日(現地日付)、同社のアドバイザリが更新され、デバイステレメ トリ機能の無効化しても本脆弱性の影響を受けると報告されています。緩和策 として無効化を適用していた場合は、別の緩和策や対策の適用実施をご検討く ださい。 V. 侵害調査方法 Palo Alto Networksが提供する最新の情報などを参考に、脆弱性を悪用する攻 撃の被害を受けていないかご確認いただくことを推奨します。同社のアドバイ ザリには、脆弱性を悪用する攻撃の被害を受けた可能性があるかを確認する方 法として、確認対象のログファイルやCLIコマンドなどが案内されています。 また、同製品のユーザーは、カスタマーサポートポータル(CSP)にテクニカ ルサポートファイル(TSF)をアップロードし、既知の侵害活動の影響を受け たかどうかを調査するケースを起票可能とのことです。なお、脆弱性を修正し たバージョンにアップグレードすると、調査に必要な機器内のログが取得でき なくなる恐れがあるため、修正前にTSFファイルを取得するよう同社は呼びか けています。 なお、脆弱性を悪用された可能性を示すログが確認され、設定情報や資格情報 などが読み取られた可能性がある場合は、窃取された情報を用いた二次被害を 防ぐため、被害内容に応じた資格情報の変更などの対処もご検討ください。 ** 更新: 2024年4月25日追記 ******************************************** 2024年4月23日(現地日付)、Palo Alto Networksは本脆弱性を悪用する攻撃 を受けた場合の対処方法や手順に関する情報を公開しました。侵害のレベルに 応じて推奨する対処方法が掲載されています。同社が提供する最新の情報をご 確認の上で、必要な対処の実施もご検討ください。 Palo Alto Networks How to Remedy CVE-2024-3400 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrO6CAK *********************************************************************** VI. 関連情報 2024年4月12日(現地日付)、Volexityは本脆弱性(CVE-2024-3400)を悪用す る攻撃に関する分析記事を公開しています。同月10日に脅威グループUTA0218 が本脆弱性を悪用し、Pythonバックドア「UPSTYLE」の展開を試みる活動を観 測したとの内容で、調査の結果、同年3月26日、27日にも複数の組織で本脆弱 性の悪用がうかがわれる事象があったことを確認したとのことです。記事では 既知の攻撃で観測されたバックドアなどの機能や特徴、横展開やデータ窃取な どの侵害活動、攻撃で使われた通信インフラなどが紹介されています。 Volexity Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400) https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/ 2024年4月12日(現地日付)、Palo Alto Networks Unit42は本脆弱性を悪用す る攻撃に関する分析記事を公開しています。「Operation MidnightEclipse」 として追跡する活動で、同社が観測している攻撃で実行されたコマンドや活動、 観測した通信先などに関する情報が紹介されています。 2024年4月19日(現地日付)、同社はブログを更新し、脆弱性を悪用する試みを レベル0-3に分類して観測状況を共有しています。悪用試行が失敗に終わったケー ス、悪用は成功するも0バイトのファイルが作成されただけで侵害は最小限に終 わったケース、Webリクエストで外部からアクセスできる場所にファイルを作成 されたケースなどが報告されています。既知の悪用事例の状況として調査時の 参考にしてください。 Palo Alto Networks Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400 https://unit42.paloaltonetworks.com/cve-2024-3400/ 2024年4月14日(日本時間)頃以降、国内組織において本脆弱性を悪用する通 信が複数観測されている状況をJPCERT/CCは確認しています。対策実施に加え、 脆弱性を悪用する攻撃の被害状況を確認のうえ、被害に応じた対処をご検討く ださい。 VII. 参考情報 Palo Alto Networks End-of-Life Summary https://www.paloaltonetworks.com/services/support/end-of-life-announcements/end-of-life-summary 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ________ 改訂履歴 2024-04-13 公開 2024-04-15 「II. 対象」の影響を受ける条件に関する情報を更新、「V. 関連情報」に追記 2024-04-15 「III. 対策」の情報を更新 2024-04-17 「I. 概要」「II. 対象」「IV. 回避策、緩和策」の情報を更新 2024-04-19 「V. 侵害調査方法」を追加、「I. 概要」「II. 対象」「VI. 関連情報」の情報を更新 2024-04-22 「II. 対象」「V. 侵害調査方法」「VI. 関連情報」の情報を更新 2024-04-25 「V. 侵害調査方法」の情報を更新 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJmKbN/AAoJEDoQgdvpn3qqo4gP/1AB8B/qoI7CpwpE+xTxLAAx cLVuI3hNIFBxULHonoeayPunDVbgzS8hO0a7M448yKFifwTJQNGwpGcs4nJRHhwo Qd+eL/J+puBlgYwVTcyg/2NLDINyFRBqodFFkJVh2k9GNt9qw6FS96jUlQFxtnwY FV2a/YzUgCo4616s7+HiFni/cmAayuQWmj/R3kKNSnQhvwZkaCHAmhnI9OrKe2VM P++zjJikEa/cTFOO5IANXYP67u3PYj1vFeUt5LT/UqFl/vxMF8o4/lV6eBg3z3bZ lJ3Yj46viWyIvv/UBN5Vqk1RqSn+lNwox7mZrtTPiBH0P26ZzCD5A3xwSXE0KGdl Qr7Pf6SVuDiOIrqOceW7aMkynqzssycpVth7/assJ11FyL1CAmrjzrMbAyR76o2W dugTPIkTmFTl9ZQA0dFez+BEVaRUa/ts2b9CyxWm0qv2oAp6V+aibr1+d1lMXyuv o8vzGRRToIylv3CztypFYUJRIrT1SELK4S30cncoJ08aDYHLIUAIX501z6nCMyPj c2QvYNwmZ3qE4Ebvhoth/N/Y8Fc5Lj3g3WUPICfLBLADDUK98uRtSyonjkudPGdq P+i7nxXKWw5ok6FWN1ss5GzPgnaM6dlh/NQLObsVn53vVIoJw3Fy2zimi8B3uogG 6nBP4zJL5uIbb/+nujG0 =/O0c -----END PGP SIGNATURE-----