パロアルト、アカウント乗っ取りの恐れあるファイアウォールの重大な脆弱性を複数修正(CVE-2024-9463、CVE-2024-9464他)
SecurityWeek – October 9, 2024
パロアルトネットワークスが9日、同社製の設定移行ツール「Expedition」に存在する複数の深刻な脆弱性を修正。攻撃者が簡単なエクスプロイトを実行して、PAN-OSファイアウォールの管理者アカウントを乗っ取る可能性があると警告した。
今回修正された欠陥は以下の通り。
- CVE-2024-9463(CVSS 9.9):OSコマンドインジェクションの脆弱性。認証されていない攻撃者はroot権限で任意のOSコマンドを実行し、PAN-OSファイアウォールのユーザー名、平文パスワード、デバイス構成、およびAPIキーを露出させることができる。
- CVE-2024-9464(CVSS 9.3):OSコマンドインジェクション脆弱性。認証済みの攻撃者はroot権限でOSコマンドを実行することができ、CVE-2024-9463と同様のデータを露出させることができる。
- CVE-2024-9465(CVSS 9.2):SQLインジェクションの脆弱性。認証されていない攻撃者は、ユーザー名やパスワードハッシュを含むExpeditionデータベースのコンテンツにアクセスできるようになる。 また、システム上で任意のファイルの作成/読み取りを行うこともできる。
- CVE-2024-9466(CVSS 8.2):機微情報の平文保存に関する脆弱性。認証済みの攻撃者はファイアウォールのユーザー名、パスワード、およびAPIキーを露出させることができる。
- CVE-2024-9467(CVSS 7.0):反射型XSSの脆弱性。認証済みのユーザーのブラウザで有害なJavaScriptの実行を可能にするもので、攻撃者はセッションを盗むためにフィッシング攻撃を仕掛けられるようになる。
これらの脆弱性はExpeditionの1.2.96より前のバージョンに影響を与えるという。なおパロアルトはこれまでのところ、悪用された事例については認識していない模様。
同社は顧客に対してパッチの適用を推奨し、緩和策もいくつか紹介した。
また上記のうち一部の脆弱性を発見したHorizon3.aiは、それらに関する詳細とIoCを公開しているほか、CVE-2024-9464とCVE-2024-9465についてはPoCコードをGitHub上でリリースしている。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠