セキュリティ
2024年4月 セキュリティ情報(Palo Alto Networks 社製 PAN-OS の脆弱性 [CVE-2024-3400]など)
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指し日々精進している三浦です。
2024年4月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性((Palo Alto Networks 社製 PAN-OS の脆弱性 [CVE-2024-3400])
情報公開日: 2024/4/12(現地時間)
| 一次情報元(引用元) |
"Palo Alto Networks, Inc."CVE-2024-3400 PAN-OS: Arbitrary File Creation Leads to OS Command Injection Vulnerability in GlobalProtect |
| その他、情報ソース |
"JPCERT/CC" Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 "Cybersecurity and Infrastructure Security Agency (以降、CISAと略称)" CISA Adds One Known Exploited Vulnerability to Catalog "Cybersecurity Help s.r.o." Command Injection in Palo Alto PAN-OS |
| CVE番号及び深刻度 | CVE番号:CVE-2024-3400 深刻度:Critical (CVSSv4.0スコア 10.0: AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:Y/R:U/V:C/RE:M/U:Red) |
| 脆弱性内容 | パロアルトネットワークス社は同社製品 PAN-OSのGlobalProtect機能(リモートVPN機能)におけるOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関するアドバイザリを公開。なお、当該脆弱性は情報公開時点において既に悪用が確認されている。 当該脆弱性はリモートから悪用可能で、攻撃が成立すると、ファイアウォール上のroot権限で任意コードが実行される恐れがあります。 想定される攻撃手口は細工したデータを当該製品に送ることとなります。 |
| 想定される影響 | 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。 |
| 影響を受ける製品 | 以下の製品で、GlobalProtectゲートウェイまたはGlobalProtectポータル(もしくはその両方)が設定されている場合に本脆弱性の影響を受けます。 詳細については「一次情報元(引用元)」でご確認ください。 - PAN-OS 11.1:11.1.2-h3より前のバージョン - PAN-OS 11.1:11.1.1-h1より前のバージョン - PAN-OS 11.1:11.1.0-h3より前のバージョン - PAN-OS 11.0:11.0.4-h1より前のバージョン - PAN-OS 11.0:11.0.3-h10より前のバージョン - PAN-OS 11.0:11.0.2-h4より前のバージョン - PAN-OS 11.0:11.0.1-h4より前のバージョン - PAN-OS 11.0:11.0.0-h3より前のバージョン - PAN-OS 10.2:10.2.9-h1より前のバージョン - PAN-OS 10.2:10.2.8-h3より前のバージョン - PAN-OS 10.2:10.2.7-h8より前のバージョン - PAN-OS 10.2:10.2.6-h3より前のバージョン - PAN-OS 10.2:10.2.5-h6より前のバージョン - PAN-OS 10.2:10.2.4-h16より前のバージョン - PAN-OS 10.2:10.2.3-h13より前のバージョン - PAN-OS 10.2:10.2.2-h5より前のバージョン - PAN-OS 10.2:10.2.1-h2より前のバージョン - PAN-OS 10.2:10.2.0-h3より前のバージョン |
| 解決策 | ・当該脆弱性に対応したバージョンへのUpdate ⇒詳細については「一次情報元(引用元)」でご確認ください。 |
| コメント | 注目した理由はインターネット上に公開されることが多いVPN機能の脆弱性である点、悪用や有効なPoC(実証コード)が確認されている点、本ページ執筆時点において日本を含む世界中で攻撃が確認されている点です。 また、攻撃は暗号化されており、IDS/IPSといったソリューションで保護することは困難という情報もあります。 早急に一時情報源のページを確認し調査/対応することを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2024/4/1 | Android | Google 社は、Androidのセキュリティ更新プログラムを公開。
"Android Security Bulletin--April 2024" https://source.android.com/docs/security/bulletin/2024-04-01 |
| 2024/4/3 | Node.js | The Node.js Project は、18.x、20.x、21.x に対するセキュリティリリースを公開。2件の脆弱性が修正されている。
"[Node.js Project] Wednesday, April 3, 2024 Security Releases" https://nodejs.org/en/blog/vulnerability/april-2024-security-releases |
| 2024/4/4 | Apache HTTP Server | The Apache Software Foundationは、Apache HTTP Serverのセキュリティリリースを公開。3件の脆弱性が修正されている。
"Apache HTTP Server 2.4 vulnerabilities" https://httpd.apache.org/security/vulnerabilities_24.html |
| 2024/4/9 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性1件の修正が行われている。(他セキュリティ研究者達は、左記件数の脆弱性以外にも「SmartScreen プロンプトのセキュリティ機能バイパスの脆弱性 (CVE-2024-29988)」の悪用を確認したとコメントしている。)
"2024 年 4 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr "2024 年 4 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2024/04/202404-security-update/ |
| 2024/4/10 | Node.js | The Node.js Project は、18.x、20.x、21.x に対するセキュリティリリースを公開。1件の脆弱性が修正されている。
"[Node.js Project] Wednesday, April 10, 2024 Security Releases" https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2 |
| 2024/4/11 | PHPの複数バージョン | PHPの複数バージョン「8.2.18」「8,3,6」をリリース。CVE番号が付与された複数の脆弱性も対応されている。
"ChangeLog Version 8.2.18" https://www.php.net/ChangeLog-8.php#8.2.18 "ChangeLog Version 8.3.6" https://www.php.net/ChangeLog-8.php#8.3.6 |
| 2024/4/16 | Oracle 社複数製品 | Oracle 社は同社複数製品(MySQL /Java /Oracle WebLogic Server、その他製品など)のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。
"Oracle Critical Patch Update Advisory - April 2024" https://www.oracle.com/security-alerts/cpuapr2024.html |
| 2024/4/16 | Mozilla Firefox /Firefox ESR | Mozilla 社は、ブラウザFirefox /Firefox ESR のセキュリティアップデートを公開。影響度は全て「High」に設定されている。また、悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。
"Mozilla Foundation Security Advisory 2024-18 Security Vulnerabilities fixed in Firefox 125" https://www.mozilla.org/en-US/security/advisories/mfsa2024-18/ "Mozilla Foundation Security Advisory 2024-18 Security Vulnerabilities fixed in Firefox 125" https://www.mozilla.org/en-US/security/advisories/mfsa2024-18/ |
注目したインシデント
2024年3月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2024/3/29 | ソフトウェア業 | クラウドサービス設定ミスによる個人情報漏えい | ストレージサーバのアクセス権限設定不備により、個人情報を含むファイルのダウンロードなどが2020年から可能になっていたとのこと。 |
| 2024/4/1 | ソフトウェア業 | ランサムウェア被害によるシステム障害 | 社内システムがランサムウェア被害に遭ったことを公表。なお、個人情報漏えいについては現在調査を継続しているとコメントしている。 |
| 2024/4/2(報道) | 大学公認サークル | サーバのウイルス感染 | 同サーバからダウンロードしたファイルがマルウェア感染している恐れがあるため、注意喚起を行っている。なお、感染経路などについては非公開となっている。 |
| 2024/4/2 | 食品 | 不正アクセスによるクレジットカード情報漏えいの可能性 | 原因はシステム脆弱性を突いた不正アクセスによるペイメントアプリケーション改ざんとコメントしている。 |
| 2024/4/2 | 病院 | サポート詐欺による個人情報漏えいの疑い | 約20分程、遠隔操作可能な状態が続いたという事案が発生。なお、情報流出は確認できなかったとコメントしている。 |
| 2024/4/2 | 大学 | セキュリティ対策不備による不正アクセス及びスパムメール送信 | 原因はサーバ構築時の安易なテスト用ユーザー/パスワード設定及びリモート接続設定不備。左記によりスパムメール送信の踏み台とされた。 |
| 2024/4/4 | 精密機器 | 不正アクセス起因によるシステム障害及び左記障害による納期遅延 | システムに挙動不審な点があったため、調査したところ不正アクセスが発覚。なお、このシステム障害により同社製品の納品が遅延する旨も同時期にアナウンスしている。 |
| 2024/4/4 | 産業用電気機器 | メールアカウントへの不正アクセスによるスパムメール送信 | 同社スタッフ1名のメールアカウントが不正アクセスを受け、スパムメール送信の踏み台になった。なお、どの様に当該アカウントの情報を入手したかは不明とのこと。 |
| 2024/4/5 | 印刷・IT | メールサーバへの不正アクセスによるフィッシングメール送信 | 同社が運営しているサイトのメールサーバが被害に遭い、不特定多数に対し迷惑メールが送信されたとのこと。不正アクセスの原因などについては非公開。 |
| 2024/4/8 | 情報 | 不正アクセスによる個人情報漏えいの可能性 | 同社が運営しているサイトに対しSQLインジェクション攻撃があり、会員のメールアドレスの一部が流出した可能性があるとコメントしている。 |
| 2024/4/10 | インフラ | 利用停止中メールアカウントへの不正アクセスによる不審メール大量送信 | 同メールアカウントを使用していたパソコンについては、ウイルス等に感染している形跡はなかったとコメントしている。 |
| 2024/4/24 | アミューズメント・リゾート | メールシステムへの不正アクセスによる個人情報漏えいの可能性 | メールシステムのアカウントが不正アクセス被害に遭ったとのこと。アカウント情報が窃取/詐取されたのかなどについては非公開となっている。 |
