LogStareのSOCの窓号外「GlobalProtectの深刻な脆弱性 (CVE-2021-3064)への対策」

　株式会社LogStareは「ログを見つめる（Stare）」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

　セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。

　今回は通常の連載を一時休止し、先日発見された Palo Alto Networks社の GlobalProtect に関する深刻な脆弱性（CVE-2021-3064）についての情報をお届けします。

　テレワークが当たり前となった今、SSL-VPN機能の脆弱性は攻撃者にとっても、セキュリティ運用担当者にとっても、最も関心が高いトピックスと言って過言ではありません。

　本記事が皆様の実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。

※本記事の内容は、2021 年 11 月 15 日現在の公開情報をもとに作成しています。具体的な影響、対策、設定方法、ソフトウェアの入手方法等については、購入元の代理店様や運用・保守ベンダー様へお問い合わせいただくようお願いします。

●脆弱性の概要

　2021 年 11 月 10 日、Palo Alto Networks社より、SSL-VPN機能である GlobalProtect Portal（ポータル）および Gateway（ゲートウェイ）の脆弱性情報が公開されました。

　この脆弱性は、GlobalProtect Portal または Gateway が有効になっている PAシリーズが影響を受け、脆弱性を悪用された場合、認証されていないネットワークベースの攻撃者から、root権限で任意のコードを実行される可能性があります。

　影響を受けるバージョンは以下の通りです。
PAN-OS 8.1 (8.1.17未満のバージョン)
CVSSv3.1 Base Score: 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

●対策および緩和策

　当社の調査では、現時点で 2 つの対策が確認できました。

1．ソフトウェアのアップデート

PAN-OS 8.1.17 およびそれ以降のバージョンで対策されており、ソフトウェアアップデートによって脆弱性を回避できます。

なお、PAN-OS 9.0系、9.1系、10.0系、10.1系では影響は受けないとされています。

2．Threat Prevention（脆弱性防御）シグネチャの適用による緩和

影響を受けるバージョンを利用している場合は速やかなバージョンアップが望まれますが、Palo Alto Networks社のセキュリティアドバイザリによると、脆弱性防御（いわゆる IPS機能）のシグネチャID「91820」と「91855」をブロック設定にすることでも緩和できます。

なお、この IPS機能による緩和においては、SSL復号化は必須ではないとされています。

具体的な設定手順は、当社を含むセキュアヴェイルグループが運営する、ネットワーク・ログ監視の技術情報メディア「ナレッジステア」に掲載しています。
https://www.secuavail.com/kb/nw-device/palo-alto-networks-cve-2021-3064/

●まとめ

　今回は緊急度の高い Palo Alto Networks PAN-OS の GlobalProtect の脆弱性についての情報をお届けしました。

　GlobalProtect は、テレワーク等での社内ネットワークへの安全な接続に用いられる機能であるため、送信元IPアドレス等による制限が難しいのが実情です。

　今回のような脆弱性は、リモートから認証不要でコードが実行される脆弱性（RCE）であるため、世界中の様々な目的を持った攻撃者が悪用する可能性を持っています。

　早急な対策をおすすめします。