【要確認】PAN-OS GlobalProtect のコマンドインジェクション CVE-2024-3400(CVSS 10.0)― 無認証RCE、パッチ適用状況の再点検を

PAN-OS RCE — GlobalProtect command injection CVE-2024-3400 (CVSS 10.0)
Photo: Pexels (free stock)

CVE-2024-3400は、Palo Alto Networks の PAN-OS に搭載された GlobalProtect 機能に存在するコマンドインジェクション脆弱性です。CVSS 4.0 基準でスコア 10.0(Critical)が付与されており、認証不要の外部攻撃者がファイアウォール上で root 権限による任意コード実行(RCE)を行える点が最大の懸念事項です。本脆弱性は 2024年4月に開示された既知のものですが、CISA の KEV(既知の悪用された脆弱性)カタログへの掲載および実環境での悪用継続が確認されています。該当する構成のファイアウォールを運用している場合は、パッチ適用状況を改めて確認してください。

どんな脆弱性か

本脆弱性の根本原因は、GlobalProtect の処理過程における「任意ファイルの生成」にあります。攻撃者は細工したリクエストを送信することで、ファイアウォール上に意図したファイルを作成し、その後のコマンドインジェクションを通じて root 権限でのコード実行へと連鎖させることができます。認証を必要としない(PR:N)ため、インターネットに露出した GlobalProtect ゲートウェイまたはポータルが対象となる場合、ネットワーク境界上の機器そのものが完全に掌握されうる状態になります。Unit 42 は「Operation MidnightEclipse」と命名した実攻撃での悪用を確認しており、脅威は理論上の想定にとどまりません。境界機器が侵害された場合、内部ネットワークへの足掛かりになるリスクも考慮が必要です。

影響を受ける構成

  • PAN-OS 10.2 系:GlobalProtect ゲートウェイまたはポータル(あるいは両方)を構成しているファイアウォール
  • PAN-OS 11.0 系:同上の構成を持つファイアウォール
  • PAN-OS 11.1 系:同上の構成を持つファイアウォール
  • 対象外:Cloud NGFW・Panorama・Prisma Access はいずれも本脆弱性の影響を受けない
  • GlobalProtect を構成していない PAN-OS 機器も対象外(構成の有無を必ず確認すること)

対応策

  1. ホットフィックスの適用:Palo Alto Networks は 2024年4月15日にホットフィックス(10.2.9-h1 / 11.0.4-h1 / 11.1.2-h3)の提供を開始しました。これ以降の保守リリースにも修正が含まれています。現行バージョンがホットフィックス適用済みか、またはそれ以降のリリースに更新されているかを確認し、未適用の場合は速やかに適用してください。
  2. 該当構成の棚卸し:管理下にあるすべての PAN-OS ファイアウォールについて、GlobalProtect ゲートウェイまたはポータルの有効・無効を確認します。資産台帳が最新でない場合は、この機会に現状を再確認してください。構成が有効な機器を特定することが、優先順位付けの前提となります。
  3. 侵害有無の確認:CISA が KEV に掲載した事実は、実際の悪用が確認されたことを意味します。パッチ適用と並行して、対象機器のログやネットワーク通信の記録を点検し、Palo Alto Networks および Unit 42 が公開している侵害指標(IoC)と照合することを推奨します。異常の有無を確認してから適用後の状態を確保するという順序が重要です。

「パッチ済み」の確認が、今できる最も確実な一手。

Omamori AI の結論

  1. 事実:CVE-2024-3400 は 2024年4月開示の既知脆弱性であり、CVSS 10.0・無認証 RCE・CISA KEV 掲載・実攻撃での悪用確認という複数の重大要素が重なっています。新規の脅威ではありませんが、悪用が継続している点において今もなお現役の危険です。
  2. 判断軸:「既知だから対応済みのはず」という前提を置かず、ホットフィックスの適用バージョンを現物で確認することが判断の出発点です。特に複数拠点・委託管理環境では、適用状況の確認が抜け落ちやすい傾向があります。
  3. 打ち手:一次情報として Palo Alto 公式セキュリティアドバイザリ および NVD(CVE-2024-3400) を参照し、自社環境のバージョンと照合してください。

経営者視点で考えるべきこと

VPN やファイアウォールといった境界機器は、組織のネットワークへの入口を守る重要資産です。しかし、その資産管理や脆弱性対応の状況が可視化されていない組織は少なくありません。CISA の KEV カタログは「実際に悪用された脆弱性」の一覧であり、掲載された項目は理論的リスクではなく現実の脅威として扱うべき根拠があります。本脆弱性を契機に、境界機器のインベントリ(機器・バージョン・構成の一覧)が最新化されているか、KEV 掲載脆弱性を優先対応する運用プロセスが機能しているかを確認することが、経営判断として意味を持ちます。セキュリティ投資の効果は、こうした「既知の重大脆弱性への確実な対応」から積み上がります。

出典

・NVD(National Vulnerability Database)― CVE-2024-3400 詳細

・Palo Alto Networks セキュリティアドバイザリ ― CVE-2024-3400 公式情報

・CISA Known Exploited Vulnerabilities Catalog ― CISA KEV カタログ

SHARE 𝕏 in f

あわせて読みたい