書類
【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2021-3064) | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報

【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2021-3064) | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報

2024-11-22 この記事は投稿日から3年以上経過しています。※本記事の内容は、2021年11月15日現在の公開情報をもとに記載しております。具体的な影響、対策、設定方法、ソフトウェアの入手方法等については、購入元の代理店様や運用・保守ベンダー様へお問い合わせください。 Palo Alto networks 社 よ

Related articles

Windows / PC向け8つ最高の無料VPNトライアル【2024最新!無料且安全】 【2024年】VPNの人気製品をランキング順に比較!おすすめ製品の特徴・機能を紹介|ITトレンド VPN for dummies: A guide for beginners 【これでずっと安心!】 Huluが海外から規制されない方法! VPNプロトコル5種類を比較!どれが安全?選び方は?|ITトレンド YouTubeプレミアムはVPN海外経由の登録で62%割引!最安の国は? 【2024年】NFL(アメフト)の全試合を日本から見る方法!VPNで様々な対戦カードを観戦できる 【41%OFF】VPNでYouTubePremiumに安く契約する方法【2024年10月】 | Tipstour

この記事は投稿日から3年以上経過しています。

※本記事の内容は、2021年11月15日現在の公開情報をもとに記載しております。具体的な影響、対策、設定方法、ソフトウェアの入手方法等については、購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

Palo Alto networks 社 より 、 SSL – VPN 機能 で ある globalprotect Portal ( ポータル ) および gateway ( ゲートウェイ ) の 脆弱 性 情報 is 公開 が 2021 年 11 月 10 日 に 公開 さ れ まし た 。
本脆弱性は、GlobalProtect PortalまたはGatewayが有効になっているPAシリーズが影響を受け、脆弱性を悪用された場合、認証されていないネットワークベースの攻撃者からroot権限で任意のコードを実行される可能性があります。

脆弱性の概要

影響を受けるバージョン:PAN-OS 8.1 (8.1.17未満のバージョン)
CVSSv3.1 Base Score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

・ PaloAlto Networks 社 の セキュリティアドバイザリ
CVE-2021-3064 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces

・本脆弱性を発見した Randori Attack Teamによるブログ
Zero-Day Disclosure: PAN GlobalProtect CVE-2021-3064 (randori.com)

Randori Attack Teamでは、脆弱性の具体的な詳細は上記記事公開の30日後に公開するとしています。
また、上記ブログ中の動画の20秒ごろから、実際にcatコマンドを実行しバージョン情報やpasswdファイルを参照している様子がわかります。

対策および緩和策

当社の調査では、現時点で2つの対策が確認できております。

ソフトウェアのアップデート

PAN-OS 8.1.17およびそれ以降のバージョンで対策されており、ソフトウェアアップデートを適用することで回避できます。
※なお、PAN-OS 9.0系、9.1系、10.0系、10.1系では影響は受けないとされています。

Threat Prevention(脆弱性防御)シグネチャの適用による緩和

該当バージョンをご利用の場合、速やかなバージョンアップをおすすめしますが、Palo Alto Networks社からは、前述のセキュリティアドバイザリで脆弱性防御(いわゆるIPS機能)のシグネチャID 91820と91855をブロック設定とすることで緩和できるとアナウンスされています。
なお、上記IPS機能による緩和においてSSL復号化は必須ではないとのことです。

設定のイメージは以下の通りです。

1.GlobalProtect Portal または Gatewayへの通信を許可するポリシーに適用されたプロファイルを編集します。

【ご注意】
Global protect gateway また Portal が PA シリーズ の 配下 に 存在 する 場合 は 、 Global protect 宛 の 通信 の 脆弱 性 防御 プロファイル を 適用 でき ま ます が 、 一 台 の PA シリーズ を Portal および gateway と し て 運用 し て いる 場合 は 、 untrust ゾーン から Untrust ゾーン 宛 など 、 globalprotect 宛 の 通信 が マッチ する ポリシー を 定義 し 、 脆弱 性 防御 プロファイル を 適用 する 必要 is あり が あり ます 。
「 Untrust to untrust 」 の ポリシー を 適用 し た 場合 、 想定 外 の 通信 影響 等 が 発生 する 可能 性 が あり ます の で 、 具体 的 な 設定 方法 は 、 購入 元 の 代理 店 様 や 保守 ベンダー 様 へ お 問う 合わせる ください 。

【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2021-3064) | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報

2.「例外」タブでシグネチャID 91820と91855でフィルタリングします。

フィルタ入力例:( id eq ‘91855’ ) or ( id eq ‘91820’ )
※ 「 すべて の シグネチャ の 表示 」 に チェック を 入れる ます 。

「Invalid HTTP Request Message Detection」が2つヒットします。(名前は同じですがIDが異なります。)

3.「ドロップ」などの防御設定に変更します。
誤検知や誤遮断を事前に確認したい場合は「Alert」に設定します。
※「有効化」のチェックも忘れずに行ってください。

設定を適用(コミット)します。

緊急 度 : 高 ! 安全 な 接続 を 行う ため に は 早急 な 対応 が オススメ

緊急度の高いPalo Alto Networks PAN-OSのGlobalProtectの脆弱性についてお届けしました。
GlobalProtectはSSL-VPN機能であり、ユーザが快適にテレワークや安全な社内接続を行うためには、送信元IPアドレス等による制限が難しく、さらに今回の脆弱性はリモートから認証不要でコードが実行される脆弱性(RCE)であるため、早急な対策をおすすめします。

最後までお読みいただきありがとうございました!
皆様のお役にたてますと幸いです。

【更新履歴】
2021/11/15 新規公開
2021/11/16 一部アンカーテキストなどの文言を修正

記載 さ れ て いる 会社 名 、 システム 名 、 製品 名 is 商標 は 一般 に 各社 の 登録 商標 また は 商標 です 。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。