LogStareのSOCの窓 号外「GlobalProtectの深刻な脆弱性 (CVE-2021-3064)への対策」 | ScanNetSecurity
2022.01.27(木)

LogStareのSOCの窓 号外「GlobalProtectの深刻な脆弱性 (CVE-2021-3064)への対策」

今回は通常の連載を一時休止し、先日発見された Palo Alto Networks社の GlobalProtect に関する深刻な脆弱性(CVE-2021-3064)についての情報をお届けします。

脆弱性と脅威 脅威動向
LogStareのSOCの窓 号外「GlobalProtectの深刻な脆弱性 (CVE-2021-3064)への対策」
LogStareのSOCの窓 号外「GlobalProtectの深刻な脆弱性 (CVE-2021-3064)への対策」 全 1 枚 拡大写真
 株式会社LogStareは「ログを見つめる(Stare)」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

 セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。

 今回は通常の連載を一時休止し、先日発見された Palo Alto Networks社の GlobalProtect に関する深刻な脆弱性(CVE-2021-3064)についての情報をお届けします。

 テレワークが当たり前となった今、SSL-VPN機能の脆弱性は攻撃者にとっても、セキュリティ運用担当者にとっても、最も関心が高いトピックスと言って過言ではありません。

 本記事が皆様の実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。

※本記事の内容は、2021 年 11 月 15 日現在の公開情報をもとに作成しています。具体的な影響、対策、設定方法、ソフトウェアの入手方法等については、購入元の代理店様や運用・保守ベンダー様へお問い合わせいただくようお願いします。

●脆弱性の概要

 2021 年 11 月 10 日、Palo Alto Networks社より、SSL-VPN機能である GlobalProtect Portal(ポータル)および Gateway(ゲートウェイ)の脆弱性情報が公開されました。

 この脆弱性は、GlobalProtect Portal または Gateway が有効になっている PAシリーズが影響を受け、脆弱性を悪用された場合、認証されていないネットワークベースの攻撃者から、root権限で任意のコードを実行される可能性があります。

 影響を受けるバージョンは以下の通りです。
PAN-OS 8.1 (8.1.17未満のバージョン)
CVSSv3.1 Base Score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

●対策および緩和策

 当社の調査では、現時点で 2 つの対策が確認できました。

1.ソフトウェアのアップデート

PAN-OS 8.1.17 およびそれ以降のバージョンで対策されており、ソフトウェアアップデートによって脆弱性を回避できます。

なお、PAN-OS 9.0系、9.1系、10.0系、10.1系では影響は受けないとされています。

2.Threat Prevention(脆弱性防御)シグネチャの適用による緩和

影響を受けるバージョンを利用している場合は速やかなバージョンアップが望まれますが、Palo Alto Networks社のセキュリティアドバイザリによると、脆弱性防御(いわゆる IPS機能)のシグネチャID「91820」と「91855」をブロック設定にすることでも緩和できます。

なお、この IPS機能による緩和においては、SSL復号化は必須ではないとされています。

具体的な設定手順は、当社を含むセキュアヴェイルグループが運営する、ネットワーク・ログ監視の技術情報メディア「ナレッジステア」に掲載しています。
https://www.secuavail.com/kb/nw-device/palo-alto-networks-cve-2021-3064/

●まとめ

 今回は緊急度の高い Palo Alto Networks PAN-OS の GlobalProtect の脆弱性についての情報をお届けしました。

 GlobalProtect は、テレワーク等での社内ネットワークへの安全な接続に用いられる機能であるため、送信元IPアドレス等による制限が難しいのが実情です。

 今回のような脆弱性は、リモートから認証不要でコードが実行される脆弱性(RCE)であるため、世界中の様々な目的を持った攻撃者が悪用する可能性を持っています。

 早急な対策をおすすめします。

《株式会社LogStare》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 衣料品取り扱い「MONCLER」にサイバー攻撃、個人情報が流出した可能性

    衣料品取り扱い「MONCLER」にサイバー攻撃、個人情報が流出した可能性

  2. ここが変だよ日本のセキュリティ 第 46 回 「ざんねんなセキュリティ事典」(前編)

    ここが変だよ日本のセキュリティ 第 46 回 「ざんねんなセキュリティ事典」(前編)

  3. メタップスペイメントの「トークン方式」データベースに不正アクセス、「イベントペイ」「会費ペイ」サービス停止

    メタップスペイメントの「トークン方式」データベースに不正アクセス、「イベントペイ」「会費ペイ」サービス停止

  4. PC版「ダークソウル」シリーズのサーバを一時停止、攻撃者が任意のコードを実行できる脆弱性

    PC版「ダークソウル」シリーズのサーバを一時停止、攻撃者が任意のコードを実行できる脆弱性

  5. メタップスペイメント「会費ペイ」で不正アクセス発生、サービス利用団体で決済を停止

    メタップスペイメント「会費ペイ」で不正アクセス発生、サービス利用団体で決済を停止

  6. メタップスペイメント「会費ペイ」「イベントペイ」への不正アクセス、不正利用が疑われるケースが複数発生

    メタップスペイメント「会費ペイ」「イベントペイ」への不正アクセス、不正利用が疑われるケースが複数発生

  7. 編集長対談:世界で最も安全なバグバウンティ、クラウドソーシングでサイバー攻撃に競争原理を ~ Synack 三好 一久

    編集長対談:世界で最も安全なバグバウンティ、クラウドソーシングでサイバー攻撃に競争原理を ~ Synack 三好 一久PR

  8. サーバへ不正アクセス「ほくせんカード」「ローンカードOUEN」新規申込停止

    サーバへ不正アクセス「ほくせんカード」「ローンカードOUEN」新規申込停止

  9. スキンケア製品取り扱い「ビーグレンHP」に不正アクセス、46,702名分のカード情報流出

    スキンケア製品取り扱い「ビーグレンHP」に不正アクセス、46,702名分のカード情報流出

  10. OneDrive、マルウェア配付に悪用された2大サービスのひとつに

    OneDrive、マルウェア配付に悪用された2大サービスのひとつに

ランキングをもっと見る