2024年4月12日、Palo Alto Networksは、同社の製品であるPAN-OSにおいて、深刻な脆弱性が確認されたとしてセキュリティ情報を公開しました。情報公開の時点では修正版は開発中(その後4/14から4/18にかけHotfix公開)であり、さらにこの脆弱性を悪用した限定的な事例を同社は把握していることから、脆弱性修正を含むHotfixの情報や推奨される回避策等の公開を行っています。ここでは関連する情報をまとめます。
概要
- 脆弱性が確認されたのはPalo Alto社のFW製品等で稼働するPAN-OS一部バージョンのGlobalProtect機能。攻撃者が脆弱性の存在するFW製品等に対しネットワーク経由でのっとりなど可能となる恐れがあるもので、同社は脆弱性深刻度を最高と評価している。
- 修正版は情報公開時点で準備中であったが、4月14日にHotfixが公開された。Hotfix以外の対応として、推奨される回避策・緩和策を同社では案内している。
- 当初脆弱性は限定的な攻撃での悪用が確認されていたが、その後攻撃が増加していることが確認されている。さらに脆弱性の実証コードとみられる情報も公開されている。悪用の動きを最初に把握したVolexityによれば、同社顧客を対象とする調査より3月26日以降に複数の悪用事例が確認されたと報告している。
脆弱性情報
共通脆弱性識別子 | CVE-2024-3400 |
---|---|
脆弱性深刻度 | Critical (Palo Alto社評価) |
CVSSv4スコア | 10.0 (基本値、Palo Alto社評価) |
共通脆弱性タイプ | CWE-77 / コマンドインジェクションの脆弱性 CWE-20 /不適切な入力検証 |
悪用の状況 | 4/12時点で限定的な悪用事例あり 4/17時点で攻撃増、実証コード確認 |
KEV | 4月12日(現地時間)に登録 |
脆弱性の影響 | 認証されていない攻撃者によって、リモートから対象機器上でroot権限による任意のコマンド実行が行われる可能性がある。 |
- Palo Alto社のセキュリティ情報 CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect
影響範囲
- 脆弱性が確認されたPAN-OSの対象バージョンは3つ。さらにデバイス上でGlobalProtect Gateway機能が有効となっている場合に脆弱性の影響を受ける。当初Device Telemetoryが有効となっていることも条件となっていたが、その後関係がないことが確認された。
- Device Temeletoryは、PAN-OS対象バージョンの3ついずれも既定で有効となっていることが同社の資料上では説明されている。(11.0.1以降および10.2.4以降)
- PAN-OSの他バージョンおよびクラウドNGFW、Panorama(アプライアンス)、Prisma Accessは影響を受けない。
- インターネット上で公開状態にあるFWへの影響が特に懸念されるが、censysは(今回の対象バージョンに限定されないが)公開されているGlobalProtectのホスト数が4万件以上に及ぶと報告している。
対象バージョン | 影響対象 |
---|---|
PAN-OS 11.1 | 11.1.2-h3より前のバージョン 11.1.1-h1より前のバージョン 11.1.2-h3より前のバージョン |
PAN-OS 11.0 | 11.0.0-h3より前のバージョン 11.0.1-h4より前のバージョン 11.0.2-h4より前のバージョン 11.0.3-h10より前のバージョン 11.0.4-h1より前のバージョン |
PAN-OS 10.2 | 10.2.0-h3より前のバージョン 10.2.1-h2より前のバージョン 10.2.2-h5より前のバージョン 10.2.3-h13より前のバージョン 10.2.4-h16より前のバージョン 10.2.5-h6より前のバージョン 10.2.6-h3より前のバージョン 10.2.7-h8より前のバージョン 10.2.8-h3より前のバージョン 10.2.9-h1より前のバージョン |
- 影響を受ける条件である2つの機能については、次の手順で有効化の状況を確認することが可能。
対象機能 | 有効となっているか確認する先 |
---|---|
GlobalProtect Gateway | FW Webインターフェース上で、Network > GlobalProtect > Gateways または Network > GlobalProtect > Portalsの順でクリック |
対応方法
(1) 攻撃を受ける状況にある製品がNW上で稼働しているかを確認する。
- 国内および海外の関連組織において、影響を受ける状況(対象バージョン、2機能の有効化の有無)にある同社製品がインターネットなどの外部から接続可能な状態となって運用されているかを確認する。
- 攻撃可能性が考えられる状況であった場合は、Palo Alto社のサポートへカスタマーサポートポータルを通じてテクニカルサポートファイルの送信による確認および公開されているインディケーター情報との突合を行う。
- 今回の問題を検知したVolexityは、FWからIPアドレスに対して直接HTTPリクエスト送信することや、ネットワーク全体へSMBやRDPの接続、Google ChromeやMicrosoft Edgeのブラウザデータまたはntds.ditファイルの SMBファイル転送、FWからWorldTimeAPI(worldtimeapi[.]org)のAPIへのHTTPリクエストなど不審なアクティビティの例として紹介している。
- Palo Alto社は、今回攻撃を受けたかどうかを判断するためにデバイス上で次のコマンドを実行することで確認ができると案内をしている。
grep pattern "failed to unmarshal session(.\+.\/" mp-log gpsvc.log*
(2) 対象機器における回避策・緩和策の適用を検討する。
- Palo Alto社が推奨する回避策・緩和策は以下の通り。特にインターネットなど第三者が外部接続可能な状態で運用を継続する場合は、可能な限り適用することを検討をする。
- Threat ID 95187、95189、95191を有効化し、脆弱性悪用する攻撃を遮断。(脅威防御サブスクリプション契約が必要)
- GlobalProtect インターフェースにおける脆弱性保護の適用。(適用状況の確認方法)
- 当初回避策として案内されていたDevice Telemetory機能の無効化はその後に効果がないことが確認されたため、これを回避策として運用している場合は攻撃の影響を受けていなかったか確認する必要あり。
(3) Hotfixが公開され次第、速やかに適用作業を行う。
- Palo Alto社は4月14日(現地時間)にHotfixを公開。また他メンテナンスバージョンのHotfixも4月18日までに公開された。
- Hotfix公開後にパッチ内容を分析されるなど脆弱性を悪用する動きが広範・活発化する可能性があることから、速やかに適用が行えるよう対応(特に保守を委託している場合は至急の対応が行われるか委託先へ確認)を進める。
〇脆弱性修正を含むHotfix
PAN-OS 10.2 | 10.2.9-h1 (4/14公開) 10.2.8-h3 (4/15公開) 10.2.7-h8 (4/15公開) 10.2.6-h3 (4/16公開) 10.2.5-h6 (4/16公開) 10.2.4-h16 (4/18公開) 10.2.3-h13 (4/18公開) 10.2.2-h5 (4/18公開) 10.2.1-h2 (4/18公開) 10.2.0-h3 (4/18公開) |
---|---|
PAN-OS 11.0 | 11.0.4-h1 (4/14公開) 11.0.4-h2 (4/17公開) 11.0.3-h10 (4/16公開) 11.0.2-h4 (4/16公開) 11.0.1-h4 (4/18公開) 11.0.0-h3 (4/18公開) |
PAN-OS 11.1 | 11.1.2-h3 (4/14公開) 11.1.1-h1 (4/16公開) 11.1.0-h3 (4/16公開) |
悪用の状況
- 4月12日の時点では、Palo Alto社は限定的な悪用事例を把握していると報告。同社の脅威分析チーム Unit42は、悪用は単一の攻撃者に限定されると高い確度をもって評価をしており、「Operation MidnightEclipse」という呼称でこの脆弱性を悪用する活動を追跡していると報告。
- Palo Alto社に対し脆弱性にかかる問題の報告を行ったVolexityも調査結果を公開。同社は攻撃者をUTA0218 として追跡を行っており、さらにUPSYTLEと呼称するPythonで作成されたバックドアが使用されたケースについて分析を行っている。
- 米国CISAやJPCERT/CC、IPAが注意喚起を発出しており、今後脆弱性を悪用した攻撃が広く行われる可能性があるとして速やかな対応を呼びかけている。また米国CISAはKEVに即日登録を行っており、対処期間を7日間と設定した。
- 4月17日にはPalo Alto社は、脆弱性を悪用する攻撃が増加していると悪用状況のステータスを更新した。さらにサードパーティより脆弱性の実証コードが公開されていることも併せて説明している。公開先について明確な言及はないが、watchTowrの公開した分析記事をさしたものではないかとみられる。
- 4月19日には脆弱性悪用による攻撃を次の4つにレベルわけし、現在の状況について同社のUnit 42が対応したケースの多くはLv1の侵害に失敗したもの。Lv2およびLv3も限定的ではあるが確認されている。
Lv 0 | 利用組織のネットワークへアクセス試行されるも攻撃失敗。これによる即時の影響はほぼ、あるいはまったくない。 |
---|---|
Lv 1 | デバイス上で脆弱性が試され、侵害に成功。 0 バイトファイルが作成され、ファイアウォール上に常駐。ただし、エクスプロイトチェーンの成功は最小限。 |
Lv 2 | デバイス上のファイルは、Web リクエストを介してアクセスできる場所にコピーされた。ただし、ファイルはその後ダウンロードされたかどうかは不明。通常、コピーされることが確認されているファイルはrunning_config.xml。 |
Lv 3 | 対話型コマンドが実行された形跡あり。シェルベースのバックドア、コードの導入、ファイルのダウンロード、コマンドの実行が含まれる場合がある。 |
Volexityの報告
- 実際に行われた攻撃について分析を行った結果として、Volexityは攻撃者の行動全容について把握できたと以下の内容を報告した。
- GlobalProtectのゼロデイ脆弱性悪用によって遠隔から攻撃が可能となっていた。当初の悪用事例では、リバースシェル作成、ツールダウンロード、構成データ窃取、ネットワーク内の横展開が確認された。またPythonベースのバックドア(UPSTYLE)の展開が試みられていた。
- 攻撃永続化には、patchという名前のバッチファイルを使用して60秒おきにペイロードを取得するcron設定が行われており、wgetを通じてpolicy というファイル名でリバースシェルをダウンロードしていた。Volexityはpolicy ファイルが6種類存在していたことを確認しており、CSSファイルの削除やGOST (GO Simple Tunnel) などのダウンロードを行うものなどであった。
- 侵害成功の事例では、攻撃者はFWのroot権限を使用し、SMB および WinRM 経由で内部ネットワークへの侵入が行われていた。この時にActive Directoryデータベース(NTDS.DIT ファイル)や、ドメイン バックアップ のDPAPI キー、さらにユーザーの端末に保存されているブラウザ情報(Cookieとログイン データ)およびユーザーのDPAPI キーの窃取も行っていた。以下は攻撃者が取得を試みていた情報。
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Network
%LOCALAPPDATA%\Google\Chrome\User Data\Default\Network\Cookies
%LOCALAPPDATA%\Google\Chrome\User Data\Local State
%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Login Data
%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Network
%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Network\Cookies
%LOCALAPPDATA%\Microsoft\Edge\User Data\Local State
%APPDATA%\Roaming\Microsoft\Protect\-> DPAPI Keys
%SystemRoot%\NTDS\ntds.dit
%SystemRoot%\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
- 攻撃者のインフラには、VPNが使用されていた他、侵害された可能性のあるASUSルーターが含まれていたとみられる。またAWSバケットや様々なVPSサービスを悪用してマルウエアをホストしていた。
バックドアUPSTYLEについて
- バックドアであるUPSTYLEは、
/usr/lib/python3.6/site-packages/system.pth
に仕込むことを目的に作られていた。.pth拡張子を使用しており、このファイル作成後、他のPythonコードがモジュールのインポートをしようとするたびに、ここで仕込まれたコードが実行される動きとなっていた。 - UPSTYLEはデバイスで稼働するWebサーバーのエラーログを監視しており、攻撃者は存在しないWebページに特定のパターンに基づくアクセスを行っていた。ログ中に特定のパターンが存在する場合にそのデータを解析し、要求されたコマンドを実行。その結果を正規のCSSファイルに追記していた。さらにコマンド実行後はログエントリが削除され、追記されたCSSファイルも15秒後には元の状態に戻す動きとなっていた。
関連インディケーター情報
関連タイムライン
日時 | 出来事 |
---|---|
2024年3月26日 | Volexityの遡り調査により、特定された最も古い脆弱性悪用の成功が確認された日。 |
2024年4月7日 | Volexityが攻撃者がバックドア導入に失敗した事例を把握した日。 |
2024年4月10日 | Volexityが顧客ネットワーク上で不審なトラフィック(ペイロード展開)を検知。GlobalProtectの0day攻撃と特定。 |
2024年4月11日 | Volexityが他の顧客で同様の悪用事案について把握。 |
同日 | VolexityがPalo Alto社へ情報提供。 |
2024年4月12日 | Palo Alto社がCVE-2024-3400のセキュリティ情報を公開。 |
同日 | Volexityが攻撃分析の情報について公開。 |
2024年4月14日 | Palo Alto社が脆弱性修正を含むHotfixを公開。 |
2024年4月17日 | Palo Alto社が脆弱性悪用の攻撃が増加していると報告。 |
更新履歴
- 2024年4月15日 AM 新規作成
- 2024年4月15日 PM 続報反映(Hotfixの公開)
- 2024年4月17日 AM 続報反映(悪用状況、回避策の更新)
- 2024年4月22日 PM 続報反映(悪用状況等)