パロアルトネットワークス製品に複数の脆弱性、限定的な攻撃も発生

今回は「パロアルトネットワークス製品に複数の脆弱性、限定的な攻撃も発生」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Palo Alto Networksは米国時間11月18日、同社の製品ソフトウェア「PAN-OS」の脆弱(ぜいじゃく)性に関する情報を公開した。既に限定的なサイバー攻撃が発生しているという。

 同社によると、今回見つかった脆弱性「CVE-2024-0012」は、PAN-OSの認証を迂回されてしまうというもの。管理インターフェースへのネットワークアクセス権限を認証されていない第三者が管理者権限を取得し、管理アクションを実行したり構成を改ざんしたりできしてしまうという。さらに、PAN-OSの管理インターフェースでは、権限昇格につながる別の脆弱性「CVE-2024-9474」も発見された。CVE-2024-0012の悪用を通じてCVE-2024-9474などの権限昇格の脆弱性を悪用することも可能だとしている。

 同社の分析では、CVE-2024-0012の深刻度が「9.3」の高レベル、CVE-2024-9474の深刻度が「6.9」の中レベルとされている。

 脆弱性の影響を受けるPAN-OSは、CVE-2024-0012ではPAN-OS 11.2.4-h1より前のバージョン/PAN-OS 11.1.5-h1より前のバージョン/PAN-OS 11.0.6-h1より前のバージョン/PAN-OS 10.2.12-h2より前のバージョン、CVE-2024-9474ではPAN-OS 11.2.4-h1より前のバージョン/PAN-OS 11.1.5-h1より前のバージョン/PAN-OS 11.0.6-h1より前のバージョン/PAN-OS 10.2.12-h2より前のバージョン/PAN-OS 10.1.14-h6より前のバージョンとなる。

 同社はこれらの脆弱性を修正したPAN-OS 11.2.4-h1/11.1.5-h1/11.0.6-h1/10.2.12-h2/10.1.14-h6を公開し、ユーザーにアップデートの適用を呼び掛けている。また、管理インターフェースへのアクセスを信頼できる内部IPアドレスのみに制限することで脆弱性の影響を低減できるという。

 既に同社は、これらの脆弱性の悪用を狙った限定的なサイバー攻撃活動を確認したとし、攻撃活動を「Operation Lunar Peek」と命名。攻撃は、匿名VPNサービスで知られるIPアドレスから発生しているといい、脆弱性が存在する製品を標的にしたコマンド実行や、ウェブシェルの設置を確認しているという。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
みんなの銀行、データ分析基盤の導入で与信審査システムを高度化
IT関連
2022-09-16 11:21
エンカレッジ、特権ID管理製品を刷新–コンテナー化やAPI提供
IT関連
2021-02-10 23:25
ガーミン、eスポーツ向けGPSウォッチを日本で発売 ゲーム中の心拍数やストレスを計測
製品動向
2021-01-22 12:36
情報通信研究機構、サイバー攻撃統合分析基盤に横断分析機能を搭載
IT関連
2023-06-15 19:38
住友ゴムとNEC、タイヤ開発で体系化が困難な熟練設計者のノウハウをAI化
IT関連
2022-11-17 05:21
Google、オープンソースのモジュール依存関係を分かりやすくグラフ化してくれる「Open Source Insights Project」公開
Google
2021-06-08 15:14
LayerX、「バクラク請求書発行」に見積書、納品書、領収書を簡単に作成できる機能を追加
IT関連
2023-09-26 00:53
アンディ・ルービン氏の「Essential」知財、謎の新企業Nothingが購入
企業・業界動向
2021-02-17 15:11
不確実性の高い時代–企業がAIにかじを切る理由
IT関連
2023-02-22 19:08
クラウド戦略の成功を示すのはセキュリティ–HashiCorpセキュリティ担当幹部に聞く
IT関連
2023-03-03 22:15
EU、大手ITの規制強化で合意–「デジタル市場法」制定へ
IT関連
2022-03-29 12:24
⻑崎県庁、「Teams」の権限管理で「AvePoint Cloud Governance」を導入
IT関連
2024-03-13 05:30
ヴイエムウェアとNVIDIA、生成AIプラットフォームを発表
IT関連
2023-08-24 16:43
100%植物性・完全生分解性の素材を開発するアミカテラが資金調達、国内初の工場を熊本で6月稼働
EnviroTech
2021-01-21 05:36