12月にPalo Alto Networks 社より公開された脆弱性 CVE-2017-15944 に関して、悪用できることを確認しました。 Palo Alto Networks 社製品をご利用の場合は至急ご確認ください。
JSOCアナリスト 今井 志有人です。
12月14日(現地時間)に米Palo Alto Networks社よりPAN-OSのWeb管理画面における任意コード実行の脆弱性が公開されました。
本稿の執筆時点では、インターネット上に任意のコード実行が可能な攻撃コードが公開されていることは確認していません。ただし、JSOC で検証を行った結果、PAN-OS上にて認証回避を行った上で、任意のコードが実行可能であることを確認しました。
認証回避後に一部手順を踏む必要がありますが、本脆弱性は容易に悪用可能です。PAN-OSが動作する環境において管理者権限でのOSコマンドの実行や、任意のファイルの作成、バックドアの設置などをおこなわれる恐れがあります。12月21日午前9時(日本時間) 時点では、JSOCでの攻撃検知実績はありませんが、今後本脆弱性を狙った攻撃が広く行われる可能性があります。
ご利用の環境において、脆弱なバージョンのPalo Alto Networks 社製品が利用されていないか、至急ご確認ください。
影響を受けるバージョン
- PAN-OS 6.1.18 を含む以前のバージョン
- PAN-OS 7.0.18 を含む以前のバージョン
- PAN-OS 7.1.13 を含む以前のバージョン
- PAN-OS 8.0.6 を含む以前のバージョン
再現確認をした環境
- PA-2020上のPAN-OS 7.1.5
上記環境において、管理者権限でのOSコマンドの実行が可能であることを確認しています。
対策方法
以下のバージョンにアップデートしてください。
- PAN-OS 6.1.19 以降
- PAN-OS 7.0.19 以降
- PAN-OS 7.1.14 以降
- PAN-OS 8.0.6-h3 以降※
- ※Palo Alto Networks 社のセキュリティアドバイザリでは修正バージョンがPAN-OS 8.0.6 以降となっていますが、リリースノートでは、PAN-OS 8.0.6-h3 にて修正されたとの記載があります。
技術詳細は控えますが、攻撃手法については技術的な段階を踏む必要があるものの、比較的容易に実施することが可能であり、ツール化等も予見される状況です。
すぐにバージョンアップができない環境の場合、管理画面へアクセスできるIPアドレスを制限し、外部ネットワークからアクセスできないようにすることで、影響を軽減することが可能です。ただし、あくまで暫定対策であり、脆弱性は残ったままとなります。
内部ネットワークからの管理画面へのアクセスについて、ポリシー上、許容されている環境も多く見受けられます。この機会にアクセス制御についての見直しと、恒久対応となるバージョンアップについて、即座に実施できる体制の確立についてもご検討ください。
参考URL
- CVE - CVE-2017-15944
- Palo Alto Networks セキュリティアドバイザリ
- PAN-OS 6.1.19 Addressed Issues
- PAN-OS 7.0.19 Addressed Issues
- PAN-OS 7.1.14 Addressed Issues
- PAN-OS 8.0.6-h3 Addressed Issues
