JPCERT コーディネーションセンター

Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起

各位

JPCERT-AT-2024-0009
JPCERT/CC
2024-04-13(公開)
2024-04-25(更新)

JPCERT/CC Alert 2024-04-13

Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起

https://www.jpcert.or.jp/at/2024/at240009.html


I. 概要2024年4月12日(現地日付)、Palo Alto Networksは、PAN-OSのGlobalProtect機能におけるOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関するアドバイザリを公開しました。GlobalProtectはリモートアクセス(VPN)などを提供する機能です。本脆弱性の悪用により、認証されていない遠隔の第三者が、ルート権限で任意のコードを実行する可能性があります。

アドバイザリの公開当時、Palo Alto Networksは、本脆弱性を悪用する攻撃を限定的に確認しているとのことでしたが、2024年4月17日(現地日付)、本脆弱性を実証するコード(Proof-of-Concept)が公開され、脆弱性を悪用する攻撃の増加を確認していると明らかにしました。JPCERT/CCは日本国内から本脆弱性を悪用する攻撃の被害に関する報告をいただいています。Palo AltoNetworksなどが公開する最新の情報をご確認の上、速やかに対策や回避策の適用をご検討いただき、脆弱性を悪用する攻撃の被害を受けていないかをご確認いただくことを推奨します。

Palo Alto Networks
CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway
https://security.paloaltonetworks.com/CVE-2024-3400

** 更新: 2024年4月25日追記 ****************
「V. 侵害調査方法」の情報を更新し、本脆弱性を悪用する攻撃を受けた場合の対処方法や手順に関するPalo Alto Networksのリンクを追記しました。
**************************************************


II. 対象対象となるシステムおよびバージョンは次のとおりです。詳細や最新の情報はPalo Alto Networksが提供する情報をご参照ください。

- PAN-OS 11.1:11.1.2-h3より前のバージョン
- PAN-OS 11.1:11.1.1-h1より前のバージョン
- PAN-OS 11.1:11.1.0-h3より前のバージョン
- PAN-OS 11.0:11.0.4-h1より前のバージョン
- PAN-OS 11.0:11.0.3-h10より前のバージョン
- PAN-OS 11.0:11.0.2-h4より前のバージョン
- PAN-OS 11.0:11.0.1-h4より前のバージョン
- PAN-OS 11.0:11.0.0-h3より前のバージョン
- PAN-OS 10.2:10.2.9-h1より前のバージョン
- PAN-OS 10.2:10.2.8-h3より前のバージョン
- PAN-OS 10.2:10.2.7-h8より前のバージョン
- PAN-OS 10.2:10.2.6-h3より前のバージョン
- PAN-OS 10.2:10.2.5-h6より前のバージョン
- PAN-OS 10.2:10.2.4-h16より前のバージョン
- PAN-OS 10.2:10.2.3-h13より前のバージョン
- PAN-OS 10.2:10.2.2-h5より前のバージョン
- PAN-OS 10.2:10.2.1-h2より前のバージョン
- PAN-OS 10.2:10.2.0-h3より前のバージョン

なお、GlobalProtectゲートウェイまたはGlobalProtectポータル(もしくはその両方)が設定されている場合に本脆弱性の影響を受けます。設定の確認方法はPalo Alto Networksが提供する情報をご参照ください。

2024年4月17日(現地日付)、同社のアドバイザリが更新され、デバイステレメトリ機能が有効でなくても本脆弱性の影響を受けると報告されています。


III. 対策2024年4月15日(現地日付)、Palo Alto Networksは本脆弱性を修正するHotfixの提供を開始しました。提供時期はバージョンにより異なります。Palo AltoNetworksのアドバイザリの最新の情報をご確認の上、推奨される対策の適用をご検討ください。


IV. 回避策、緩和策本脆弱性に対して、Palo Alto Networksは次の緩和策の適用を推奨しています。詳細はPalo Alto Networksが提供する最新の情報をご参照ください。

(Threat Preventionライセンス契約ユーザーの場合)
- 脅威ID 95187などを有効にする
- GlobalProtectインターフェイスに脆弱性保護が適用されていることを確認する

2024年4月17日(現地日付)、同社のアドバイザリが更新され、デバイステレメトリ機能の無効化しても本脆弱性の影響を受けると報告されています。緩和策として無効化を適用していた場合は、別の緩和策や対策の適用実施をご検討ください。


V. 侵害調査方法Palo Alto Networksが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。同社のアドバイザリには、脆弱性を悪用する攻撃の被害を受けた可能性があるかを確認する方法として、確認対象のログファイルやCLIコマンドなどが案内されています。また、同製品のユーザーは、カスタマーサポートポータル(CSP)にテクニカルサポートファイル(TSF)をアップロードし、既知の侵害活動の影響を受けたかどうかを調査するケースを起票可能とのことです。なお、脆弱性を修正したバージョンにアップグレードすると、調査に必要な機器内のログが取得できなくなる恐れがあるため、修正前にTSFファイルを取得するよう同社は呼びかけています。

なお、脆弱性を悪用された可能性を示すログが確認され、設定情報や資格情報などが読み取られた可能性がある場合は、窃取された情報を用いた二次被害を防ぐため、被害内容に応じた資格情報の変更などの対処もご検討ください。

** 更新: 2024年4月25日追記 ****************
2024年4月23日(現地日付)、Palo Alto Networksは本脆弱性を悪用する攻撃を受けた場合の対処方法や手順に関する情報を公開しました。侵害のレベルに応じて推奨する対処方法が掲載されています。同社が提供する最新の情報をご確認の上で、必要な対処の実施もご検討ください。

Palo Alto Networks
How to Remedy CVE-2024-3400
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrO6CAK
**************************************************


VI. 関連情報2024年4月12日(現地日付)、Volexityは本脆弱性(CVE-2024-3400)を悪用する攻撃に関する分析記事を公開しています。同月10日に脅威グループUTA0218が本脆弱性を悪用し、Pythonバックドア「UPSTYLE」の展開を試みる活動を観測したとの内容で、調査の結果、同年3月26日、27日にも複数の組織で本脆弱性の悪用がうかがわれる事象があったことを確認したとのことです。記事では既知の攻撃で観測されたバックドアなどの機能や特徴、横展開やデータ窃取などの侵害活動、攻撃で使われた通信インフラなどが紹介されています。

Volexity
Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400)
https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/

2024年4月12日(現地日付)、Palo Alto Networks Unit42は本脆弱性を悪用する攻撃に関する分析記事を公開しています。「Operation MidnightEclipse」として追跡する活動で、同社が観測している攻撃で実行されたコマンドや活動、観測した通信先などに関する情報が紹介されています。

2024年4月19日(現地日付)、同社はブログを更新し、脆弱性を悪用する試みをレベル0-3に分類して観測状況を共有しています。悪用試行が失敗に終わったケース、悪用は成功するも0バイトのファイルが作成されただけで侵害は最小限に終わったケース、Webリクエストで外部からアクセスできる場所にファイルを作成されたケースなどが報告されています。既知の悪用事例の状況として調査時の参考にしてください。

Palo Alto Networks
Threat Brief: Operation MidnightEclipse, Post-Exploitation Activity Related to CVE-2024-3400
https://unit42.paloaltonetworks.com/cve-2024-3400/

2024年4月14日(日本時間)頃以降、国内組織において本脆弱性を悪用する通信が複数観測されている状況をJPCERT/CCは確認しています。対策実施に加え、脆弱性を悪用する攻撃の被害状況を確認のうえ、被害に応じた対処をご検討ください。


VII. 参考情報
Palo Alto Networks
End-of-Life Summary
https://www.paloaltonetworks.com/services/support/end-of-life-announcements/end-of-life-summary


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

________
改訂履歴
2024-04-13 公開
2024-04-15 「II. 対象」の影響を受ける条件に関する情報を更新、「V. 関連情報」に追記
2024-04-15 「III. 対策」の情報を更新
2024-04-17 「I. 概要」「II. 対象」「IV. 回避策、緩和策」の情報を更新
2024-04-19 「V. 侵害調査方法」を追加、「I. 概要」「II. 対象」「VI. 関連情報」の情報を更新
2024-04-22 「II. 対象」「V. 侵害調査方法」「VI. 関連情報」の情報を更新
2024-04-25 「V. 侵害調査方法」の情報を更新

==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
Topへ
最新情報(RSSメーリングリストTwitter