JPCERT コーディネーションセンター

Palo Alto Networks製PAN-OSの管理インタフェースにおける複数の脆弱性(CVE-2024-0012、CVE-2024-9474)に関する注意喚起

JPCERT-AT-2024-0022
JPCERT/CC
2024-11-19(公開)
2024-11-20(更新)

JPCERT/CC Alert 2024-11-19

Palo Alto Networks製PAN-OSの管理インタフェースにおける複数の脆弱性(CVE-2024-0012、CVE-2024-9474)に関する注意喚起

https://www.jpcert.or.jp/at/2024/at240022.html


I. 概要2024年11月18日(現地日付)、Palo Alto Networksは、PAN-OSの管理Webインタフェースにおける複数の脆弱性(CVE-2024-0012、CVE-2024-9474)を悪用する攻撃活動に関する情報を公開しました。本脆弱性が悪用された場合、認証されていない第三者によって、管理アクションの実行、構成の改ざん、権限昇格が行われる可能性があります。

Palo Alto Networksによると、本脆弱性は限定的な攻撃で悪用されており、影響を受ける製品上でのコマンドの実行やWebshellの設置が確認されているとのことです。

** 更新: 2024年11月20日追記 ****************
2024年11月19日(現地日付)、Palo Alto Networksはブログを更新し、「本脆弱性の詳細を解説する情報が公開されており、その後新たに観測された攻撃活動を追跡している」と公表しました。

Palo Alto Networks
Threat Brief: Operation Lunar Peek, Activity Related to CVE-2024-0012 and CVE-2024-9474 (Updated Nov. 19)
https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

今後本脆弱性を悪用する攻撃が増加する可能性がありますので、同脆弱性の影響を受ける状況で同製品を利用している場合、Palo Alto Networksが提供する最新情報の確認、対策や緩和策の適用の検討、攻撃被害の有無の調査を推奨します。
**************************************************

Palo Alto Networks
CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)
https://security.paloaltonetworks.com/PAN-SA-2024-0015

Palo Alto Networks
CVE-2024-9474 PAN-OS: Privilege Escalation (PE) Vulnerability in the Web Management Interface
https://security.paloaltonetworks.com/CVE-2024-9474


II. 対象対象となる製品およびバージョンは次のとおりです。詳細や最新の情報はPalo Alto Networksが提供する情報をご確認ください。

(認証バイパスの脆弱性(CVE-2024-0012)の対象)
- PAN-OS 11.2.4-h1より前の11.2系のバージョン
- PAN-OS 11.1.5-h1より前の11.1系のバージョン
- PAN-OS 11.0.6-h1より前の11.0系のバージョン
- PAN-OS 10.2.12-h2より前の10.2系のバージョン

(権限昇格の脆弱性(CVE-2024-9474)の対象)
- PAN-OS 11.2.4-h1より前の11.2系のバージョン
- PAN-OS 11.1.5-h1より前の11.1系のバージョン
- PAN-OS 11.0.6-h1より前の11.0系のバージョン
- PAN-OS 10.2.12-h2より前の10.2系のバージョン
- PAN-OS 10.1.14-h6より前の10.1系のバージョン

また、Palo Alto Networksは管理インタフェースへのアクセスが保護されていないデバイスのスキャンを実施しており、カスタマーサポートポータルのRemediation RequiredリストにPAN-SA-2024-0015のタグを付与していると公開しています。


III. 対策Palo Alto Networksは本脆弱性を修正したバージョンへのアップグレードを推奨しています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。


IV. 緩和策Palo Alto Networksは本脆弱性に対して、管理Webインタフェースへのアクセスを制限するなどの緩和策を提供しています。修正済みバージョンの適用ができない場合は、Palo Alto Networksが提供する情報を確認の上、緩和策の適用などをご検討ください。

Palo Alto Networks
Tips & Tricks: How to Secure the Management Access of Your Palo Alto Networks Device
https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431


V. 侵害調査方法Palo Alto Networksが提供する最新の情報などを参考に、脆弱性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。Palo Alto Networksが公開した攻撃活動に関する記事には、侵害調査方法として脆弱性を悪用する攻撃元IPアドレスやWebシェルの情報が公開されています。

Palo Alto Networks
Threat Brief: Operation Lunar Peek, Activity Related to CVE-2024-0012
https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

________
改訂履歴
2024-11-19 公開
2024-11-20 「I. 概要」を更新

==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
Topへ

最新情報(RSSメーリングリストTwitter