Palo Alto Networksは、PAN-OSの新たな脆弱性3件に対するパッチをリリースしました。これらの脆弱性を悪用されると、認証済みの管理者またはユーザーがroot権限で任意のコマンドを実行したり、ファイアウォールを繰り返し再起動させたりすることが可能となります。PA-SeriesおよびVM-Seriesアプライアンスに依存する企業にとって、運用面・セキュリティ面での懸念が高まっています。
CLIとWeb UIを介したPAN-OS rootコマンドインジェクション(CVE-2026-0273)
CVE-2026-0273は、PAN-OSにおけるコマンドインジェクションの脆弱性です。認証済みの管理者がシステムの組み込み制限を回避し、CLIまたはWeb管理インターフェース経由でroot権限による任意のOSコマンドを実行できてしまいます。
本脆弱性は、PA-SeriesおよびVM-Seriesファイアウォール、Panoramaアプライアンスに影響しますが、Cloud NGFWおよびPrisma Accessは影響を受けないと明示されています。
深刻度はMEDIUM(中)で、CVSS-BTスコアは6.1です。悪用には高い権限が必要な一方、実際に悪用された場合は機密性・完全性・可用性への影響が大きいことを反映しています。
悪用されるために特別な設定は不要であり、管理アクセスが有効になっているすべての脆弱なPAN-OS環境がデフォルトで対象となります。
Palo Alto Networksはこれまでのところ悪意ある悪用を確認していませんが、管理インターフェースが外部または信頼されていないネットワークから到達可能なデバイスでは、リスクが大幅に高まります。
Palo Altoは、管理プレーン強化のベストプラクティスに従い、CLIアクセスを厳密に管理された管理者グループに限定し、管理Web画面へのアクセスを信頼できる内部IPまたはセキュリティが強化されたジャンプボックスに制限することで、攻撃対象領域を縮小するよう推奨しています。
管理者は、使用中のメジャーバージョンに応じて、12.1.4-h7、12.1.7、11.2.4-h18、11.2.12、11.1.4-h34、11.1.15、10.2.7-h35、10.2.18-h7以降の修正済みPAN-OSメンテナンスリリースにアップグレードしてください。
PAN-OS CLIにおけるroot権限への特権昇格(CVE-2026-0272)
CVE-2026-0272は、PAN-OSのコマンドラインインターフェースにおける特権昇格の脆弱性です。認証済みの管理者がデバイス上で完全なroot権限に昇格できてしまいます。
本脆弱性は、認可制御の欠如(CWE-862)に起因しています。CLIへのアクセスが可能な状態になると、管理者の通常のロールで許可されている範囲を超えた、影響の大きい操作が実行できてしまいます。
CVE-2026-0273と同様に、本脆弱性はPA-SeriesおよびVM-Seriesファイアウォール、Panoramaに影響しますが、Cloud NGFWおよびPrisma Accessには影響しません。また、悪用に特別な設定は必要ありません。
深刻度はMEDIUM(中)で、CVSS-BTスコアは6.0です。悪用にはすでに高い権限が必要な点が主な理由ですが、機密性と完全性を大きく損なう可能性があります。Palo Altoは現時点で実環境での悪用は確認されていないとしています。
セキュリティアドバイザリでは改めて、管理アクセスを信頼できる内部アドレスに限定し、可能であれば管理者を専用のジャンプホスト経由に限定することで、実質的な攻撃対象領域を縮小するよう強調しています。
修正済みバージョンは、12.1.4-h7または12.1.5以降、11.2.4-h18または11.2.11以降、11.1.4-h34または11.1.14以降、10.2.7-h35または10.2.18-h5以降のPAN-OSストリームで提供されています。サポートが終了した旧バージョンは、サポート対象の修正済みリリースへのアップグレードが必要です。
メモリ破損によるトンネルトラフィックへのDoS(CVE-2026-0269)
CVE-2026-0269は、管理プレーンではなくデータプレーンを標的としており、PAN-OSのトンネルトラフィック処理におけるメモリ破損のバグを悪用します。
低い権限を持つ認証済みユーザーが、IPSecトンネルまたはGlobalProtectリモートアクセスゲートウェイを通じて悪意を持って細工されたパケットを送信することで、再起動を引き起こし、繰り返し実行した場合はファイアウォールをメンテナンスモードに追い込む可能性があります。
これにより、サービス妨害(DoS)状態が引き起こされ、可用性に影響しますが、機密性や完全性が直接侵害されるわけではありません。
本脆弱性の深刻度はMEDIUM(中)で、CVSS-BTスコアは4.6です。悪用されるためには、PAN-OSファイアウォールにIPSecトンネルまたはGlobalProtectゲートウェイが設定されている必要があります。Panorama、Cloud NGFW、Prisma Accessは影響を受けません。
悪意ある攻撃キャンペーンではなく、本番環境での調査においてのみ悪用が確認されていますが、大規模なIPSecまたはGlobalProtect環境を運用する組織は、これを重大な安定性リスクとして扱うべきです。
Palo Altoは、サポート対象のPAN-OSバージョン全体にわたり修正をリリースしました。対象バージョンは12.1.4-h5または12.1.5以降、11.2.4-h17、11.2.7-h4、11.2.10以降、11.1.4-h33、11.1.6-h21、11.1.12以降、10.2.7-h34、10.2.10-h36、10.2.18以降です。古いバージョンやサポート対象外のビルドは、サポート対象の修正済みリリースへのアップグレードが推奨されています。
パッチ適用が完了するまでの間、防御担当者はトンネルトラフィックを注意深く監視し、原因不明の再起動やデバイスのメンテナンスモード移行に警戒するとともに、潜在的なDoS攻撃に備えた高可用性設計を優先することが重要です。
翻訳元: https://gbhackers.com/palo-alto-pan-os-flaw-2/
