パロアルトのファイアウォール: 公開エクスプロイト、増加する攻撃、効果のない軽減策

"当初は、デバイスのテレメトリを無効にすることで CVE-2024-3400 を悪用した攻撃からパロ アルト ネットワーク ファイアウォールを保護できるように見えましたが、現在ではこの軽減策は効果がないことが確認されています。

パロアルトネットワークスは火曜日、「PAN-OSファイアウォールがこの脆弱性に関連する攻撃にさらされるためにデバイステレメトリを有効にする必要はない」と述べ、「この脆弱性を悪用した攻撃の数が増加している」ことを認識していると述べた。脆弱性。」

新しい発見

先週の金曜日、パロアルトネットワークスは、GlobalProtect ゲートウェイとデバイス テレメトリの両方の構成が有効になっている PAN-OS v10.2、11.0、および 11.1 を実行しているファイアウォールにおける重大なゼロデイ コマンド インジェクションの脆弱性である CVE-2024-3400 について警告しました。豊富なリソースを持つ攻撃者によって悪用され、バックドアをインストールし、取得したアクセスを使用して標的組織のネットワーク内を横方向に移動します。

当時、同社はホットフィックスの準備が整うまで、顧客は特定の脅威シグネチャを有効にし、デバイスのテレメトリを無効にすることで悪用の脅威を軽減できると述べていた。

ホットフィックスは日曜日にリリースされ始めたが、パロアルトネットワークスは火曜日、後者の緩和策はもう効果がなくなったことを確認した。

水曜日、同社は新しい脅威シグネチャをリリースし、顧客がデバイス上のエクスプロイト活動の兆候を特定するために使用できる CLI コマンドを共有しました。

また、これらの特定の PAN-OS バージョンを使用するファイアウォールは、GlobalProtect ゲートウェイまたは GlobalProtect ポータル (またはその両方) で構成されている場合に脆弱であることも繰り返し述べました。

CVE-2024-3400 を悪用した攻撃がエスカレート

火曜日、WatchTowr Labs はこの脆弱性の分析と概念実証エクスプロイトを発表し、積極的に利用されているエクスプロイトが TrustedSec CTO の Justin Elze によって共有されました。

Greynoise では悪用の試みが確認され始めています。

脆弱なファイアウォールを実行しているパロアルトネットワークのお客様は、できるだけ早くホットフィックスを実装し、侵害の兆候がないか確認する必要があります。

「パロアルトネットワーク GlobalProtect ファイアウォール デバイスが侵害されていることが判明した場合は、直ちに措置を講じることが重要です。アプライアンスをワイプしたり再構築したりしないようにしてください。ログを収集し、テクニカル サポート ファイルを生成し、デバイスからフォレンジック アーティファクト (メモリとディスク) を保存することが重要です」と Volexity の研究者はアドバイスしています。

ただし、侵害の痕跡が見つからない場合でも、ホットフィックスを適用する前にこれらのアクションを実行することをお勧めします。"

日本語版は Ai 支援を使用しているため、小さな間違いが存在する可能性があることをご了承ください。

著者

Ai Base Network (ABN), ABN ASIAは、アカデミアに深く関わり、アメリカ、オランダ、ハンガリー、日本、韓国、シンガポール、ベトナムでの仕事経験を持つ人々によって設立されました。ABN ASIAは、学問とテクノロジーが機会と出会う場所です。最先端のソリューションと優れたソフトウェア開発サービスにより、ビジネスがレベルアップし、グローバルシーンに挑戦できるよう支援しています。 私たちの取り組み: より速く。 より良い。 より信頼性が高くなります。 ほとんどの場合、価格も安くなります。

いつでも、ITサービス、デジタルコンサルティング、既製のソフトウェアソリューション、または提案依頼書（RFP）をお探しの際は、お気軽にお問い合わせください。お問い合わせ先は[email protected]です。お客様のテクノロジーに関するニーズにお応えします。

© ABN ASIA