Palo Alto PAN-OSにバッファオーバーフローの欠陥、攻撃者によるコード実行の恐れ

Palo Alto Networksは、PAN-OSのUser-ID Terminal Server Agent(TSA)コンポーネントに複数のバッファオーバーフロー脆弱性が存在することを公表しました。

CVE-2026-0288として追跡されているこの脆弱性は、未認証の攻撃者がサービス拒否(DoS)状態を引き起こしたり、場合によっては任意のコードを実行したりすることを可能にする恐れがあります。ベンダーはこの欠陥に最高レベルの緊急度評価を割り当てており、CVSS-Bスコアは9.2(CVSS-BT:7.2、HIGH)となっています。

この欠陥は、TSAがネットワークトラフィックを処理する方法におけるCWE-787(範囲外書き込み)の脆弱性に起因します。TSAのIPアドレスおよびポートにネットワークアクセスできる攻撃者は、認証やユーザー操作を必要とせず、特別に細工したパケットを送信することでメモリを破損させることができます。

Palo Alto NetworksはPanoramaが影響を受けないことを確認しており、この問題は「Device > User Identification > Terminal Server Agents」の下に少なくとも1つのTerminal Server Agentエントリが設定されているデバイスにのみ影響します。

TSAアクセスがインターネットや信頼できないネットワークに公開されている場合(CVSS-B 9.2)と、信頼できる内部セグメントに限定されている場合(CVSS-B 7.7)とでは、深刻度が大きく異なります。

Prisma Accessの展開環境では、悪用に認証済みユーザーが必要であり、また外部からのTSAアクセスがすでに制限されているため、相対的にリスクは低くなっています。

この脆弱性は、PAN-OS 10.2、11.1、11.2、12.1の各系列、およびPrisma Access 10.2と11.2(Prisma Accessについては深刻度「中」と評価)に影響します。

Azure上のCloud NGFWは、Palo Alto Networksから直接連絡を受けていない限り影響を受ける可能性があります。一方、AWS上のCloud NGFWは影響を受けません。

Palo Alto Networksによると、この脆弱性が現在活発に悪用されているという情報は確認されておらず、エクスプロイトの成熟度についても報告はないとしています。しかし、ネットワーク経由で攻撃可能であること、攻撃の複雑さが低いこと、必要な権限がないことを踏まえると、各組織はパッチ適用を優先すべきです。

暫定的な緩和策として、ベンダーはTSAのIPアドレスとポートを信頼できない、あるいはインターネットに面したネットワークに公開するのではなく、公開済みのベストプラクティスに沿って、TSA接続を信頼できる内部IPアドレスのみに制限することを強く推奨しています。

これにより、パッチが適用されるまでの間、攻撃対象領域を大幅に縮小できます。なお、この脆弱性はセキュリティ研究者のLiang Zhu氏によって発見・報告されました。

影響を受けるPAN-OSまたはPrisma Accessのバージョンを稼働させている組織は、特にTSAがより広範なネットワーク公開設定になっている場合、直ちにアップグレードを行う必要があります。

翻訳元: https://cyberpress.org/palo-alto-pan-os-buffer-overflow-flaws/

ソース: cyberpress.org