NW機器

【Palo Alto Networks】GlobalProtectの深刻な脆弱性について(CVE-2021-3064)

この記事は投稿日から3年以上経過しています。

※本記事の内容は、2021年11月15日現在の公開情報をもとに記載しております。具体的な影響、対策、設定方法、ソフトウェアの入手方法等については、購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

若手エンジニア志望者を募集!支度金あり

Palo Alto Networks社より、SSL-VPN機能であるGlobalProtect Portal(ポータル)およびGateway(ゲートウェイ)の脆弱性情報が2021年11月10日に公開されました。
本脆弱性は、GlobalProtect PortalまたはGatewayが有効になっているPAシリーズが影響を受け、脆弱性を悪用された場合、認証されていないネットワークベースの攻撃者からroot権限で任意のコードを実行される可能性があります。

脆弱性の概要

影響を受けるバージョン:PAN-OS 8.1 (8.1.17未満のバージョン)
CVSSv3.1 Base Score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

・PaloAlto Networks社のセキュリティアドバイザリ
CVE-2021-3064 PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces

・本脆弱性を発見した Randori Attack Teamによるブログ
Zero-Day Disclosure: PAN GlobalProtect CVE-2021-3064 (randori.com)

Randori Attack Teamでは、脆弱性の具体的な詳細は上記記事公開の30日後に公開するとしています。
また、上記ブログ中の動画の20秒ごろから、実際にcatコマンドを実行しバージョン情報やpasswdファイルを参照している様子がわかります。

対策および緩和策

当社の調査では、現時点で2つの対策が確認できております。

ソフトウェアのアップデート

PAN-OS 8.1.17およびそれ以降のバージョンで対策されており、ソフトウェアアップデートを適用することで回避できます。
※なお、PAN-OS 9.0系、9.1系、10.0系、10.1系では影響は受けないとされています。

Threat Prevention(脆弱性防御)シグネチャの適用による緩和

該当バージョンをご利用の場合、速やかなバージョンアップをおすすめしますが、Palo Alto Networks社からは、前述のセキュリティアドバイザリで脆弱性防御(いわゆるIPS機能)のシグネチャID 91820と91855をブロック設定とすることで緩和できるとアナウンスされています。
なお、上記IPS機能による緩和においてSSL復号化は必須ではないとのことです。

設定のイメージは以下の通りです。

1.GlobalProtect Portal または Gatewayへの通信を許可するポリシーに適用されたプロファイルを編集します。

【ご注意】
Global Protect GatewayまたPortalがPAシリーズの配下に存在する場合は、Global Protect宛の通信の脆弱性防御プロファイルを適用できまますが、一台のPAシリーズをPortalおよびGatewayとして運用している場合は、UntrustゾーンからUntrustゾーン宛など、GlobalProtect宛の通信がマッチするポリシーを定義し、脆弱性防御プロファイルを適用する必要があります。
「Untrust to Untrust」のポリシーを適用した場合、想定外の通信影響等が発生する可能性がありますので、具体的な設定方法は、購入元の代理店様や保守ベンダー様へお問い合わせください。

2.「例外」タブでシグネチャID 91820と91855でフィルタリングします。

フィルタ入力例:( id eq '91855' ) or ( id eq '91820' )
※「すべてのシグネチャの表示」にチェックを入れます。

「Invalid HTTP Request Message Detection」が2つヒットします。(名前は同じですがIDが異なります。)

3.「ドロップ」などの防御設定に変更します。
誤検知や誤遮断を事前に確認したい場合は「Alert」に設定します。
※「有効化」のチェックも忘れずに行ってください。

設定を適用(コミット)します。

緊急度:高!安全な接続を行うためには早急な対応がオススメ

緊急度の高いPalo Alto Networks PAN-OSのGlobalProtectの脆弱性についてお届けしました。
GlobalProtectはSSL-VPN機能であり、ユーザが快適にテレワークや安全な社内接続を行うためには、送信元IPアドレス等による制限が難しく、さらに今回の脆弱性はリモートから認証不要でコードが実行される脆弱性(RCE)であるため、早急な対策をおすすめします。

最後までお読みいただきありがとうございました!
皆様のお役にたてますと幸いです。

【更新履歴】
2021/11/15 新規公開
2021/11/16 一部アンカーテキストなどの文言を修正

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(211111_01)前のページ

CloudWatch監視に必要な権限について次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. Zabbixヒストリデータのレポート生成について
  3. ログフォワーダー「okurun.jar」について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    FortiGate・Palo AltoのSyslogが取得できない時の確認事項

    FortiGate・Palo Alto側での確認事項FortiGa…

  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API監視について

    当記事では、Nutanix Prism におけるSNMP監視/REST…

  3. WatchGuard FireboxをSNMPで監視する

    NW機器

    WatchGuard FireboxをSNMPで監視するための設定方法

    当記事では、WatchGuard社FireboxシリーズのSNMP(v…

  4. FORTIGATEのAUTOMATION機能を用いてTEAMSへ通知

    NW機器

    FortiGateのAutomation機能を用いてTeamsへ通知してみた

    当記事では、FortiGateのAutomation機能を設定し、Mi…

  5. WatchGuard Fireboxのログを収集するための設定方法

    NW機器

    WatchGuard Fireboxのログを収集するための設定方法

    当記事では、WatchGuard社FireboxシリーズのログをSys…

  6. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について

    当記事では、SonicWall UTMにSyslog送信設定を追加する…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  2. 実践記事

    DNSキャッシュポイズニングやってみた
  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  4. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP