Palo Alto Networks PAN-OS の GlobalProtect 機能において、OS コマンドインジェクションの脆弱性が発見されました。CVSS ベーススコアは 10.0 であり、至急の対応がです。
- https://japan.zdnet.com/article/35217746
- https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/
- https://www.jpcert.or.jp/at/2024/at240009.html
こちらの情報によると、Threat Prevention ライセンス契約ユーザーの場合、以下の回避策(緩和策)があるとのことです。
- 脅威 ID 95187 を有効にする
- GlobalProtect インターフェイスに脆弱性保護が適用されていることを確認する
以下の記事は、こちらの公式の情報を分かりやすく要約したものです。詳細は公式の情報を参照して下さい。
概要
- 発見日: 2024-04-10
- 脆弱性: Palo Alto Networks PAN-OS の GlobalProtect 機能における未認証のリモートコード実行。
- 脅威アクター: Volexity によって UTA0218 として追跡されている。
初期の発見
- Volexity は 2024-04-10 に 1 つの NSM 顧客でゼロデイ攻撃を発見。
- 同じアクターによる別の顧客が 2024-04-10 に侵害された。
攻撃の詳細
- 攻撃者はリバースシェルを作成し、ツールをダウンロードし、設定データをエクスポート。
- 脆弱性は OS コマンドインジェクションとして確認された (CVE-2024-3400)。
- CVSS ベーススコア: 10.0
- Palo Alto Networks はアドバイザリーと脅威保護シグネチャーを発行。
バックドア: UPSTYLE
- 調査中に観察されたカスタムの Python バックドア。
- UPSTYLE は、特別に作成されたネットワークリクエストを介して追加のコマンド実行を可能にする。
活動のタイムライン
- 2024-03-26: 攻撃のテストの最初の証拠。
- 2024-04-07: バックドアのデプロイ失敗。
- 2024-04-10: 悪意のあるペイロードの成功したデプロイ。
- 2024-04-11: 別の成功した侵害。
攻撃後の活動
- 攻撃者は、秘密の資格情報、DPAPI キー、クッキーなどを抽出。
- VPN や可能性のある侵害された ASUS ルーターを含むインフラのミックスを使用。
検出と対応
- Palo Alto のアドバイザリーを読み、必要な保護を実施するよう組織に勧告。
- 対策は既存の侵害を解決しないため、影響を受けた組織は侵害を調査すべき。
推奨事項
- Palo Alto Networks GlobalProtect を使用している組織は、アドバイザリーを確認し、必要なパッチを適用すべき。
- 侵害の兆候の定期的な監視が重要。
- 資格情報と機密データは侵害されたとみなし、パスワードのリセットなどのセキュリティ対策が必要。
結論
- エッジデバイスは、高度な脅威アクターにとって人気のあるターゲットとなっている。
- リモートコード実行の活動に関連する検出は、リアルタイムのネットワークモニタリングと EDR 機能の両方が必要。
- UTA0218 は、この種の攻撃のリソースと複雑さに基づいて、おそらく国家支援の脅威アクターであると評価される。
- この要約は、影響を受けた組織がネットワークを保護し、潜在的な侵害を調査するために即座に行動を取る必要があることを強調しています。
Palo Alto GlobalProtect のゼロデイ脆弱性 CVE-2024-3400