NW機器

【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2021-3064)

この記事は投稿日から3年以上経過しています。

※本記事の内容は、2021年11月15日現在の公開情報をもとに記載しております。具体的な影響、対策、設定方法、ソフトウェアの入手方法等については、購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

若手エンジニア志望者を募集!支度金あり

Palo Alto Networks社より、SSL-VPN機能であるGlobalProtect Portal(ポータル)およびGateway(ゲートウェイ)の脆弱性情報が2021年11月10日に公開されました。
本脆弱性は、GlobalProtect PortalまたはGatewayが有効になっているPAシリーズが影響を受け、脆弱性を悪用された場合、認証されていないネットワークベースの攻撃者からroot権限で任意のコードを実行される可能性があります。

脆弱性の概要

影響を受けるバージョン:PAN-OS 8.1 (8.1.17未満のバージョン)
CVSSv3.1 Base Score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

・PaloAlto Networks社のセキュリティアドバイザリ
CVE-2021-3064 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces

・本脆弱性を発見した Randori Attack Teamによるブログ
Zero-Day Disclosure: PAN GlobalProtect CVE-2021-3064 (randori.com)

Randori Attack Teamでは、脆弱性の具体的な詳細は上記記事公開の30日後に公開するとしています。
また、上記ブログ中の動画の20秒ごろから、実際にcatコマンドを実行しバージョン情報やpasswdファイルを参照している様子がわかります。

対策および緩和策

当社の調査では、現時点で2つの対策が確認できております。

ソフトウェアのアップデート

PAN-OS 8.1.17およびそれ以降のバージョンで対策されており、ソフトウェアアップデートを適用することで回避できます。
※なお、PAN-OS 9.0系、9.1系、10.0系、10.1系では影響は受けないとされています。

Threat Prevention(脆弱性防御)シグネチャの適用による緩和

該当バージョンをご利用の場合、速やかなバージョンアップをおすすめしますが、Palo Alto Networks社からは、前述のセキュリティアドバイザリで脆弱性防御(いわゆるIPS機能)のシグネチャID 91820と91855をブロック設定とすることで緩和できるとアナウンスされています。
なお、上記IPS機能による緩和においてSSL復号化は必須ではないとのことです。

設定のイメージは以下の通りです。

1.GlobalProtect Portal または Gatewayへの通信を許可するポリシーに適用されたプロファイルを編集します。

【ご注意】
Global Protect GatewayまたPortalがPAシリーズの配下に存在する場合は、Global Protect宛の通信の脆弱性防御プロファイルを適用できまますが、一台のPAシリーズをPortalおよびGatewayとして運用している場合は、UntrustゾーンからUntrustゾーン宛など、GlobalProtect宛の通信がマッチするポリシーを定義し、脆弱性防御プロファイルを適用する必要があります。
「Untrust to Untrust」のポリシーを適用した場合、想定外の通信影響等が発生する可能性がありますので、具体的な設定方法は、購入元の代理店様や保守ベンダー様へお問い合わせください。

2.「例外」タブでシグネチャID 91820と91855でフィルタリングします。

フィルタ入力例:( id eq '91855' ) or ( id eq '91820' )
※「すべてのシグネチャの表示」にチェックを入れます。

「Invalid HTTP Request Message Detection」が2つヒットします。(名前は同じですがIDが異なります。)

3.「ドロップ」などの防御設定に変更します。
誤検知や誤遮断を事前に確認したい場合は「Alert」に設定します。
※「有効化」のチェックも忘れずに行ってください。

設定を適用(コミット)します。

緊急度:高!安全な接続を行うためには早急な対応がオススメ

緊急度の高いPalo Alto Networks PAN-OSのGlobalProtectの脆弱性についてお届けしました。
GlobalProtectはSSL-VPN機能であり、ユーザが快適にテレワークや安全な社内接続を行うためには、送信元IPアドレス等による制限が難しく、さらに今回の脆弱性はリモートから認証不要でコードが実行される脆弱性(RCE)であるため、早急な対策をおすすめします。

最後までお読みいただきありがとうございました!
皆様のお役にたてますと幸いです。

【更新履歴】
2021/11/15 新規公開
2021/11/16 一部アンカーテキストなどの文言を修正

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(211111_01)前のページ

CloudWatch監視に必要な権限について次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. ログフォワーダー「okurun.jar」について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. FortiGateの冗長化構成におけるha-direct設定方法について

    NW機器

    FortiGateの冗長化構成(HA構成)におけるha-direct設定について

    当記事では、冗長構成(HA構成)のFortiGateにおけるha-di…

  2. NW機器

    D-Link製DGS-3000シリーズ及びDGS-3120シリーズにおけるSYSLOG/SNMP設定…

    当記事では、D-Link製DGS-3000シリーズ及びDGS-3120…

  3. NW機器

    Palo Alto にSNMP v2c / Syslog 設定を追加する

    当記事では、Palo Alto からSNMP 並びにSyslog を取…

  4. NW機器

    【Catalystスイッチ】LAGの設定方法

    当記事では、Catalystスイッチにて、LAGの設定方法について記載…

  5. PaloAlto

    ChatGPTを利用し、PaloAltoで多数のアドレスオブジェクトを作成するコマンドを、一括作成し…

    本記事はPaloAltoにおいて多数のアドレスオブジェクトを作成する際…

  6. NW機器

    FortiGateにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、FortiGateにおけるTLS通信を利用してSyslog…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

人気記事TOP10

  1. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について

  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…

  3. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…

  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
PAGE TOP