NW機器

【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2021-3064)

この記事は投稿日から3年以上経過しています。

※本記事の内容は、2021年11月15日現在の公開情報をもとに記載しております。具体的な影響、対策、設定方法、ソフトウェアの入手方法等については、購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

若手エンジニア志望者を募集!支度金あり

Palo Alto Networks社より、SSL-VPN機能であるGlobalProtect Portal(ポータル)およびGateway(ゲートウェイ)の脆弱性情報が2021年11月10日に公開されました。
本脆弱性は、GlobalProtect PortalまたはGatewayが有効になっているPAシリーズが影響を受け、脆弱性を悪用された場合、認証されていないネットワークベースの攻撃者からroot権限で任意のコードを実行される可能性があります。

脆弱性の概要

影響を受けるバージョン:PAN-OS 8.1 (8.1.17未満のバージョン)
CVSSv3.1 Base Score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

・PaloAlto Networks社のセキュリティアドバイザリ
CVE-2021-3064 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces

・本脆弱性を発見した Randori Attack Teamによるブログ
Zero-Day Disclosure: PAN GlobalProtect CVE-2021-3064 (randori.com)

Randori Attack Teamでは、脆弱性の具体的な詳細は上記記事公開の30日後に公開するとしています。
また、上記ブログ中の動画の20秒ごろから、実際にcatコマンドを実行しバージョン情報やpasswdファイルを参照している様子がわかります。

対策および緩和策

当社の調査では、現時点で2つの対策が確認できております。

ソフトウェアのアップデート

PAN-OS 8.1.17およびそれ以降のバージョンで対策されており、ソフトウェアアップデートを適用することで回避できます。
※なお、PAN-OS 9.0系、9.1系、10.0系、10.1系では影響は受けないとされています。

Threat Prevention(脆弱性防御)シグネチャの適用による緩和

該当バージョンをご利用の場合、速やかなバージョンアップをおすすめしますが、Palo Alto Networks社からは、前述のセキュリティアドバイザリで脆弱性防御(いわゆるIPS機能)のシグネチャID 91820と91855をブロック設定とすることで緩和できるとアナウンスされています。
なお、上記IPS機能による緩和においてSSL復号化は必須ではないとのことです。

設定のイメージは以下の通りです。

1.GlobalProtect Portal または Gatewayへの通信を許可するポリシーに適用されたプロファイルを編集します。

【ご注意】
Global Protect GatewayまたPortalがPAシリーズの配下に存在する場合は、Global Protect宛の通信の脆弱性防御プロファイルを適用できまますが、一台のPAシリーズをPortalおよびGatewayとして運用している場合は、UntrustゾーンからUntrustゾーン宛など、GlobalProtect宛の通信がマッチするポリシーを定義し、脆弱性防御プロファイルを適用する必要があります。
「Untrust to Untrust」のポリシーを適用した場合、想定外の通信影響等が発生する可能性がありますので、具体的な設定方法は、購入元の代理店様や保守ベンダー様へお問い合わせください。

2.「例外」タブでシグネチャID 91820と91855でフィルタリングします。

フィルタ入力例:( id eq '91855' ) or ( id eq '91820' )
※「すべてのシグネチャの表示」にチェックを入れます。

「Invalid HTTP Request Message Detection」が2つヒットします。(名前は同じですがIDが異なります。)

3.「ドロップ」などの防御設定に変更します。
誤検知や誤遮断を事前に確認したい場合は「Alert」に設定します。
※「有効化」のチェックも忘れずに行ってください。

設定を適用(コミット)します。

緊急度:高!安全な接続を行うためには早急な対応がオススメ

緊急度の高いPalo Alto Networks PAN-OSのGlobalProtectの脆弱性についてお届けしました。
GlobalProtectはSSL-VPN機能であり、ユーザが快適にテレワークや安全な社内接続を行うためには、送信元IPアドレス等による制限が難しく、さらに今回の脆弱性はリモートから認証不要でコードが実行される脆弱性(RCE)であるため、早急な対策をおすすめします。

最後までお読みいただきありがとうございました!
皆様のお役にたてますと幸いです。

【更新履歴】
2021/11/15 新規公開
2021/11/16 一部アンカーテキストなどの文言を修正

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(211111_01)前のページ

CloudWatch監視に必要な権限について次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. ログフォワーダー「okurun.jar」について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    FortiGateのコンサーブモードについて

    UTMにはコンサーブモード(節約モード)に切り替わる製品があります…

  2. NW機器

    FortiOS v5.6.6におけるログ出力仕様の変更について

    FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われ…

  3. PaloAlto

    PAN-OS 9系以降におけるURLフィルタリングプロファイルの設計変更の話

    当記事では、PAN-OS 9系以降からURL フィルタリングプロファイ…

  4. NW機器

    PaloAltoの送信元・宛先NAT設定方法

    当記事ではPaloAltoにおける送信元NAT・宛先NATの設定方法に…

  5. PaloAlto

    PaloAltoのコンテンツ検査がかからないケースについて

    FortiGateにおいて、ファイルサイズによって精査がかからなくなる…

  6. NW機器

    FortiGateにてGUIにトラフィックログを表示するための設定方法

    FortiGateではトラフィックログを収集できますが、FortiGa…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

人気記事TOP10

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…

  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…

  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について

  4. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  5. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
PAGE TOP