PALOALTOのURLフィルタリングのカテゴリ例外における脆弱性

NW機器

PaloAltoのURLフィルタリングのカテゴリ例外における脆弱性(CVE-2022-0011)について

2022/02/9に公開されたPaloAltoのURLフィルタリングのカテゴリ例外における脆弱性について記載いたします。

本記事では脆弱性について概要を記載しつつ、悪用されるケースとその対処方法を記載いたします。

当記事は、情報をかみ砕いてお伝えするものであり、推奨される対応については別途購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

PaloAltoのURLフィルタリングとカテゴリ例外について

PaloAltoのURLフィルタリングは、社内ユーザのWebアクセスを制御・可視化する機能です。

PaloAltoの開発元PaloAlto Networks社が世界中のURLを約70のカテゴリに分類しています。カテゴリごとに、「通過」「検知」「ユーザにアクセスを続行するか判断させる」「遮断」などのアクションを設定します。

カテゴリごとに設定したアクションにおいて、例外的な設定が必要となるケースがあります。

たとえば、情報漏洩を防ぐために、「カテゴリ:オンラインストレージとバックアップ」へのアクセスを遮断としていますが、特定のオンラインストレージサービスへのアクセスを例外的に許可する必要がある場合などです。

例外設定を行う場合には、カスタムURLカテゴリを作成し、それに例外設定を行う対象のURLを記載する必要があります。(以後、この作業を例外設定と記載します。)

カスタムURLカテゴリを作成

※上記設定値は脆弱性に該当する設定値です。設定の修正方法については、後述しております。

PaloAltoのURLフィルタリングのカテゴリ例外の脆弱性(CVE-2022-0011)とその影響について

本記事で取り上げている脆弱性とは、PaloAltoでの例外設定対象のURLの記述を正しく行わないと意図しないURLへの通信を行えてしまう、あるいは遮断してしまう恐れがあるというものです。
PaloAlto Networks社は、PaloAltoのカスタムURLカテゴリ設定画面において、以下のようなモーダルウィンドウを表示して、注意を促しています。

モーダルウィンドウ

「For domain entries, we recommend you use an ending token. Acceptable tokens are: . / ? & = ; +. If you choose not to use an ending token, you may block or allow more URLs than anticipated. For example, if you want to allow xyz.com and enter the domain as 'xyz.com,' you will allow xyz.com and URLs such as xyz.com.random.com. However, if you enter the domain as 'xyz.com/,' you will only allow xyz.com.」

脆弱性による悪影響の具体例として、例外設定として通信を行わせたい以下のFQDNを記述している場合を考えます。
www.secuavail.com
PaloAltoの例外設定の仕様上、上記の通り例外設定を投入すると、 [ www.secuavail.com ] への通信は想定通り通過しますが、 [ www.secuavail.com.website.example ]への通信も通過してしまいます。

フィッシングサイトに用いられるFQDNを、ユーザのURLの打ち間違いを誘発する、誤ってアクセスを行わせてフィッシングサイトに通信を行わせる目的でトップレベルドメイン配下を有名なECサイトのFQDNに似せるケースがあります。URLフィルタリングの例外設定の方法が適切でないと、上記のようなフィッシング目的のURLにアクセスさせられてしまうリスクが高くなります。

対処方法

URLフィルタリングの例外設定において、「example.com」や「example.com.jp」を許可する目的で、「example.com」「example.com.*」と記述していないかご確認ください。

もし記述されている場合には、設定内容が妥当であるのかを確認してください。

設定内容が適切ではない場合には、例外設定の脆弱性に該当しないように、設定値を「example.com/」に書き換えてください。なおトップレベルドメインのみをワイルドカードで指定するためにキャレット(^)を使う(※)のは避け、完全なFQDNのリストを指定することを推奨いたします。
※「google.com」「google.jp」などを一度に許可するために「google.^」とするような指定方法を指します。

適切なマッチング方法を検討する際には、以下のリファレンスを事前にご確認ください。

PaloAlto:リファレンス

※スラッシュを自動的に追加するためのオプションを有効化する方法もありますが、作業前に購入元の代理店様や運用・保守ベンダー様へお問い合わせすることを推奨いたします。

本記事冒頭の例外設定を修正すると以下のような設定値となります。

例外設定を修正した設定値

脆弱性の重大度はmedium!焦らず設定値の確認を

本記事で取り上げている脆弱性は発生しやすいのですが、いざ悪用するとなると例外設定されやすいFQDNを準備したうえで、PaloAltoのURLフィルタリングにて脆弱なURLフィルタ設定を使用しているユーザをターゲットにしないといけません。そのため、脆弱性を悪用され、フィッシングサイトなどに誘導されるケースは高くはないと考えております。

PaloAlto Networks社が公開している記事は重大度mediumですので、焦らずに設定値を確認いただければと存じます。

皆さんのPaloAltoの設定がよりよいものになることを祈っております。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Microsoft Defender ファイアウォールのログ活用事例前のページ

FortiGateのAutomation機能を用いてTeamsへ通知してみた次のページFORTIGATEのAUTOMATION機能を用いてTEAMSへ通知

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. ログフォワーダー「okurun.jar」について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. A10 Thunderのアクセスログを収集する

    NW機器

    A10 Thunderのアクセスログを収集するためのForward Proxy、SYSLOGなどの設…

    当記事では、A10ネットワークス社  Thunder シリーズを、フォ…

  2. NW機器

    LogStare Collectorにて、vCenter Server Appliance のSNM…

    当記事では、LogStare CollectorにおけるvCenter…

  3. NW機器

    D-Link製レイヤ2スマートスイッチにおけるSYSLOG/SNMP設定

    当記事では、D-Link製レイヤ2スマートスイッチにSYSLOG/SN…

  4. NW機器

    LogStare Collectorにて、iLO4 , iLO5 のSNMP監視をするための設定方法…

    当記事では、LogStare Collectorにおける Integr…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP