パロアルトネットワークスのファイアウォールに緊急の脆弱性、アップデートを
マイナビニュース / 2024年4月16日 8時47分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月13日(15日更新)、「Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起」において、Palo Alto NetworksのPAN-OSに緊急の脆弱性が存在するとして、注意を呼び掛けた。この脆弱性を利用されると、認証されていないリモートの攻撃者に遠隔から管理者権限で任意のコードを実行される可能性がある。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect
発見された脆弱性の情報(CVE)は次のとおり。
CVE-2024-3400 - PAN-OSのGlobalProtectにコマンドインジェクションの脆弱性。GlobalProtectゲートウェイまたはGlobalProtectポータル、もしくはその両方とデバイステレメトリを有効にしたPAN-OSのファイアーウォールが影響を受ける。Cloud NGFW、Panoramaアプライアンス、Prisma Accessは影響を受けない
○脆弱性の影響を受ける製品およびバージョン
脆弱性の影響を受けるとされるプロダクトおよびバージョンは次のとおり。
PAN-OS 11.1 バージョン11.1.2-h3より前のバージョン
PAN-OS 11.0 バージョン11.0.4-h1より前のバージョン
PAN-OS 10.2 バージョン10.2.9-h1より前のバージョン
○脆弱性が修正された製品およびバージョン
脆弱性が修正された製品およびバージョンは次のとおり。
PAN-OS 11.1 バージョン11.1.2-h3およびこれ以降のバージョン
PAN-OS 11.0 バージョン11.0.4-h1およびこれ以降のバージョン
PAN-OS 10.2 バージョン10.2.9-h1およびこれ以降のバージョン
Palo Alto Networksはこの脆弱性を悪用した攻撃をすでに確認したとしており注意が必要。この脆弱性の深刻度は緊急(Critical)と評価されている。Palo Alto Networksの脅威対策(Threat Prevention)サブスクリプションを使用しているユーザーは脅威 ID 95187(アプリケーションと脅威のコンテンツバージョン8833-8682以降で利用可能)を使用することで攻撃をブロックできる(参考:「Applying Vulnerability Protection to GlobalProtect Interfaces | Palo Alto Networks」)。
サブスクリプションを使用しておらず、即座にアップデートできないユーザーはデバイステレメトリを一時的に無効にすることで影響を軽減できる。この軽減策を実施した場合、アップデート後にデバイステレメトリを再度有効にする必要がある。
(後藤大地)
外部リンク
この記事に関連するニュース
-
バッファロー製Wi-Fiルーターに脆弱性 対象機種は今すぐファームウェア更新を
ITmedia PC USER / 2024年4月17日 15時40分
-
Windowsで動く複数のプログラミング言語の脆弱性に注意喚起、JPCERT/CC
マイナビニュース / 2024年4月17日 8時9分
-
バッファローの無線LANルータに複数の脆弱性、アップデートを
マイナビニュース / 2024年4月16日 16時31分
-
LG製テレビに緊急の脆弱性、悪用されると乗っ取られる恐れ - 更新を
マイナビニュース / 2024年4月10日 19時12分
-
D-LinkのNASに重大な脆弱性、破棄または交換を
マイナビニュース / 2024年4月9日 12時59分
ランキング
-
1「ギガ 300MB」とは……? 何かがおかしいデータ通信量の珍表記に「違和感」「0.3って書けばよかったのに」などツッコミ続出
ねとらぼ / 2024年4月30日 20時30分
-
2ヤマト運輸の「偽サイト」が話題 今までより質向上?
おたくま経済新聞 / 2024年5月1日 11時32分
-
3こんなにかわいい手作りサラダ、初めて見た!! 460万再生突破の簡単レシピに「こ、これは天才!」「よく思い付きましたね」
ねとらぼ / 2024年5月1日 9時30分
-
4TVアニメ『わんだふるぷりきゅあ!』、いなばペットフードとのコラボ企画を中止 一連の報道が影響か「まぁ…そうなるよね…」
ねとらぼ / 2024年4月30日 13時15分
-
5【レビュー】Beatsの定番ヘッドホンが刷新! ロスレス再生に対応「Beats Solo 4」を聴く
ASCII.jp / 2024年4月30日 23時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください