PAN-OSのWeb管理画面における脆弱性 (CVE-2017-15944) は悪用可能と確認

12月にPalo Alto Networks 社より公開された脆弱性 CVE-2017-15944 に関して、悪用できることを確認しました。 Palo Alto Networks 社製品をご利用の場合は至急ご確認ください。

JSOCアナリスト 今井 志有人です。

12月14日（現地時間）に米Palo Alto Networks社よりPAN-OSのWeb管理画面における任意コード実行の脆弱性が公開されました。

本稿の執筆時点では、インターネット上に任意のコード実行が可能な攻撃コードが公開されていることは確認していません。ただし、JSOC で検証を行った結果、PAN-OS上にて認証回避を行った上で、任意のコードが実行可能であることを確認しました。

認証回避後に一部手順を踏む必要がありますが、本脆弱性は容易に悪用可能です。PAN-OSが動作する環境において管理者権限でのOSコマンドの実行や、任意のファイルの作成、バックドアの設置などをおこなわれる恐れがあります。12月21日午前9時（日本時間） 時点では、JSOCでの攻撃検知実績はありませんが、今後本脆弱性を狙った攻撃が広く行われる可能性があります。

ご利用の環境において、脆弱なバージョンのPalo Alto Networks 社製品が利用されていないか、至急ご確認ください。

影響を受けるバージョン

• PAN-OS 6.1.18 を含む以前のバージョン
• PAN-OS 7.0.18 を含む以前のバージョン
• PAN-OS 7.1.13 を含む以前のバージョン
• PAN-OS 8.0.5 を含む以前のバージョン

再現確認をした環境

• PA-2020上のPAN-OS 7.1.5

上記環境において、管理者権限でのOSコマンドの実行が可能であることを確認しています。

対策方法

以下のバージョンにアップデートしてください。

• PAN-OS 6.1.19 以降
• PAN-OS 7.0.19 以降
• PAN-OS 7.1.14 以降
• PAN-OS 8.0.6 以降

技術詳細は控えますが、攻撃手法については技術的な段階を踏む必要があるものの、比較的容易に実施することが可能であり、ツール化等も予見される状況です。

すぐにバージョンアップができない環境の場合、管理画面へアクセスできるIPアドレスを制限し、外部ネットワークからアクセスできないようにすることで、影響を軽減することが可能です。ただし、あくまで暫定対策であり、脆弱性は残ったままとなります。

内部ネットワークからの管理画面へのアクセスについて、ポリシー上、許容されている環境も多く見受けられます。この機会にアクセス制御についての見直しと、恒久対応となるバージョンアップについて、即座に実施できる体制の確立についてもご検討ください。

参考URL

• CVE - CVE-2017-15944
• Palo Alto Networks セキュリティアドバイザリ
• PAN-OS 6.1.19 Addressed Issues
• PAN-OS 7.0.19 Addressed Issues
• PAN-OS 7.1.14 Addressed Issues
• PAN-OS 8.0.6 Addressed Issues

■記事訂正のお知らせ（12月22日）

12月21日に公開した記事の内容に誤りが3点ありました。

・「影響を受けるバージョン」の項目で「PAN-OS 8.0.6 を含む以前」としていますが、
正しくは「PAN-OS 8.0.5 を含む以前」の誤りです。

・「対策方法」の「PAN-OS 8.0.6-h3 以降※」は「PAN-OS 8.0.6 以降」とし、注釈部分は削除いたします。

・参考URLのうち「PAN-OS 8.0.6-h3」は「PAN-OS 8.0.6」の誤りです。

以上、お詫びして訂正いたします。
なお、現在公開中の記事は訂正済みのものです。

JSOCについてはこちら

JSOC^®（ジェイソック）