【Paloalto】 CVE-2024-3400:GlobalProtectのOSコマンドインジェクションの脆弱性

連絡
お知らせ管理番号:
0000004480
公開日:
2024年4月15日

日頃より弊社サービスをご利用いただき誠にありがとうございます。

PaloAlto(PAN-OS)のリモートアクセス機能である「GlobalProtect」に、深刻な脆弱性が発見されました。

本脆弱性の影響を受けるバージョンをご利用のお客様については、
以下の対策へのご対応をお願いいたします。

メーカーの情報が随時アップデートされているため、内容に変更がある場合があります。
情報更新がありましたら、こちらのお知らせを更新いたします。

対策への手順やご不明な点等のお問い合わせは、担当エンジニア、営業または、
弊社サポート窓口までご連絡をお願いいたします。


▼脆弱性概要
2024年4月12日(現地日付)、Palo Alto Networksは、PAN-OSのGlobalProtect機能における
OSコマンドインジェクションの脆弱性(CVE-2024-3400)に関するアドバイザリを公開しました。
本脆弱性の悪用により、認証されていない遠隔の第三者が、ルート権限で任意のコードを実行する可能性があります。


▼対象バージョン
PAN-OS 11.1: 11.1.2-h3より前のバージョン
PAN-OS 11.1: 11.1.1-h1より前のバージョン
PAN-OS 11.1: 11.1.0-h3より前のバージョン
PAN-OS 11.0: 11.0.4-h1より前のバージョン
PAN-OS 11.0: 11.0.3-h10より前のバージョン
PAN-OS 11.0: 11.0.2-h4より前のバージョン
PAN-OS 10.2: 10.2.9-h1より前のバージョン
PAN-OS 10.2: 10.2.8-h3より前のバージョン
PAN-OS 10.2: 10.2.7-h8より前のバージョン
PAN-OS 10.2: 10.2.6-h3より前のバージョン
PAN-OS 10.2: 10.2.5-h6より前のバージョン
PAN-OS 10.2: 10.2.4-h16より前のバージョン
PAN-OS 10.2: 10.2.3-h13より前のバージョン
PAN-OS 10.2: 10.2.2-h5より前のバージョン
PAN-OS 10.2: 10.2.1-h2より前のバージョン
PAN-OS 10.2: 10.2.0-h3より前のバージョン

PAN-OS 10.1: 本脆弱性の影響を受けません
PAN-OS 9.1: 本脆弱性の影響を受けません

*2024/04/19:対象のパッチが追加されました。最新情報はメーカーサイトをご覧下さい。


▼対象となる環境
対象バージョンを利用かつ、GlobalProtect Gateway ないし Portal (SSL-VPN機能)を有効化している場合に、本脆弱性の影響を受けます。

*2024/04/17:当初回避策として案内されていた、「デバイステレメトリの無効化」は、メーカーより効果がないことが発表されました。


▼対策:(1)恒久手順
修正バージョンへのバージョンアップ

PAN-OS 11.1:
- 11.1.2-h3 (Released 4/14/24)
- 11.1.1-h1 (Released 4/16/24)
- 11.1.0-h3 (Released 4/16/24)

PAN-OS 11.0:
- 11.0.4-h1 (Released 4/14/24)
- 11.0.4-h2 (Released 4/17/24)
- 11.0.3-h10 (Released 4/16/24)
- 11.0.2-h4 (Released 4/16/24)
- 11.0.1-h4 (ETA: 4/18/24)
- 11.0.0-h3 (ETA: 4/18/24)

PAN-OS 10.2:
- 10.2.9-h1 (Released 4/14/24)
- 10.2.8-h3 (Released 4/15/24)
- 10.2.7-h8 (Released 4/15/24)
- 10.2.6-h3 (Released 4/16/24)
- 10.2.5-h6 (Released 4/16/24)
- 10.2.4-h16 (Released 4/18/24)
- 10.2.3-h13 (Released 4/18/24)
- 10.2.2-h5 (Released 4/18/24)
- 10.2.1-h2 (Released 4/18/24)
- 10.2.0-h3 (Released 4/18/24)

*2024/04/19:対象の修正バージョンが追加されましたが、4/15にリリースされた修正バージョンを適用いただいておりましたら、問題ございません。

※「対象となる環境」に該当しており、機器停止が難しいなどの理由で、すぐにバージョンアップを行うことが難しい場合は、以下の「(2)暫定手順」をご覧ください。


▼対策:(2)暫定手順
TPライセンスの有無で、対応が分かれます。

・TPライセンスをお持ちのお客様
PaloAlto自身がリリースするシグネチャにより、この脆弱性に対する攻撃をブロックできます。
詳細手順は、以下のメーカーコミュニティに記載があります。
https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184

・TPライセンスをお持ちでないお客様
本脆弱性に関しての回避方法がありませんので、修正バージョンへのバージョンアップを実施ください。


▼参考:各種リンク
・Palo Alto Networks Security Advisories (メーカーサイト)
https://security.paloaltonetworks.com/CVE-2024-3400


[第5報]