細工されたネットワークリクエスト1件で、パロアルトネットワークスのファイアウォールはセキュリティ境界から侵入口へと姿を変えてしまいます。PAN-OSに存在する脆弱性により、リモートの未認証の攻撃者がデバイスの動作を妨害し、さらには任意のコードを実行できる可能性があります。パロアルトネットワークスはCVE-2026-0288に関する完全なセキュリティアドバイザリを公開しており、パッチの詳細と緩和策が記載されています。
CVE-2026-0288とは
この脆弱性はCVE-2026-0288として追跡されています。影響を受けるのはUser-ID Terminal Server Agentコンポーネントで、一般にTSAと略称されます。悪意あるネットワークトラフィックを処理する際に、複数のバッファオーバーフローによってメモリが破損する恐れがあります。攻撃者に必要なのはTSAのアドレスとポートへのネットワークアクセスのみで、認証情報もユーザー操作も一切必要ありません。
深刻度とリスク要因
パロアルトネットワークスはこの脆弱性に高深刻度の評価と、修復における最高レベルの緊急度を付与しています。CVSS 4.0のベーススコアは9.2に達し、脅威を加味したスコアは7.2となっています。最もリスクが高いのは、Terminal Server AgentのポートをインターネットへC露出させているシステムです。TSAが信頼されていないネットワークからアクセス可能な環境も、リスクが高まります。
影響を受けるのはどの導入環境か
脆弱性の影響を受けるのは、Terminal Server Agentのエントリが少なくとも1つ設定されているデバイスのみです。管理者は「Device」→「User Identification」→「Terminal Server Agents」の項目で設定を確認できます。集中管理プラットフォームのPanoramaは影響を受けません。AWS上のCloud NGFW導入環境についても、パッチ適用は不要です。Azure環境を利用しているユーザーは、パロアルトネットワークスからの通知を確認し、それぞれの状況に応じたガイダンスに従ってください。
影響を受けるバージョン
この脆弱性は、PAN-OS 10.2、11.1、11.2、12.1の各リリース、およびPrisma Access 10.2と11.2の複数バージョンに影響します。パロアルトネットワークスはすでに修正済みビルドをリリース済みです。適切なバージョンは、該当するブランチとインストール済みのホットフィックスパッケージによって異なります。サポートが終了した旧バージョンを使用している場合、ベンダーは現行のサポート対象リリースへの移行を推奨しています。Prisma Accessの利用者には、次回の定期メンテナンス時にアップデートが適用されます。早期適用を希望する場合は、サポート窓口を通じて申請できます。
パッチ適用までの当面の緩和策
パッチのインストールが完了するまでの間、パロアルトネットワークスはTerminal Server Agentへの接続を信頼できる社内IPアドレスのみに制限するよう推奨しています。また、管理者はインターネットに面したインターフェースから該当ポートをブロックすべきです。これらの対策は攻撃対象領域を大幅に縮小しますが、修正パッチの適用に代わるものではありません。
悪用状況と発見の経緯
本記事の公開時点で、パロアルトネットワークスはCVE-2026-0288が実際の攻撃で悪用された証拠を確認していません。この脆弱性は研究者のLiang Zhu氏が発見し、ベンダーに報告しました。
翻訳元: https://meterpreter.org/cve-2026-0288-panos-tsa/