Palo Alto Networksは、認証なしの攻撃者がサービス拒否(DoS)攻撃でファイアウォールの保護機能を無効化できる可能性がある高深刻度の脆弱性を修正しました。
CVE-2026-0227として追跡されているこのセキュリティ上の欠陥は、次世代ファイアウォール(PAN-OS 10.1以降を実行)および、GlobalProtectゲートウェイまたはポータルが有効になっている場合のPalo Alto NetworksのPrisma Access構成に影響します。
同社によると、クラウドベースのPrisma Accessインスタンスの大半はすでにパッチ適用済みで、未対応のものについてもアップグレードがすでに予定されています。
「Palo Alto NetworksのPAN-OSソフトウェアの脆弱性により、認証なしの攻撃者がファイアウォールに対してサービス拒否(DoS)を引き起こすことが可能になります。この問題を繰り返しトリガーしようとすると、ファイアウォールはメンテナンスモードに入ります」とPalo Alto Networksは説明しました。
「アップグレード日程の競合により進行中の一部を除き、ほとんどのお客様に対するPrisma Accessのアップグレードは正常に完了しました。残りのお客様についても、標準のアップグレードプロセスを通じて速やかにアップグレードを予定しています。」
インターネットセキュリティ監視団体Shadowserverは現在、オンラインで公開されているPalo Alto Networksのファイアウォールを約6,000台追跡していますが、そのうち脆弱な構成のものや、すでにパッチが適用されたものがどれだけあるかは不明です。
水曜日にセキュリティアドバイザリが公開された時点で、同社はこの脆弱性が攻撃に悪用されている証拠はまだ見つかっていないと述べました。
Palo Alto Networksは影響を受けるすべてのバージョン向けにセキュリティ更新を公開しており、管理者には潜在的な攻撃からシステムを保護するため、最新リリースへアップグレードすることが推奨されています。
| バージョン | マイナーバージョン | 推奨される対処 |
|---|---|---|
| Cloud NGFW(全て) | 対応不要。 | |
| PAN-OS 12.1 | 12.1.0~12.1.3 | 12.1.4以降へアップグレード。 |
| PAN-OS 11.2 | 11.2.8~11.2.10 | 11.2.10-h2以降へアップグレード。 |
| 11.2.5~11.2.7 | 11.2.7-h8または11.2.10-h2以降へアップグレード。 | |
| 11.2.0~11.2.4 | 11.2.4-h15または11.2.10-h2以降へアップグレード。 | |
| PAN-OS 11.1 | 11.1.11~11.1.12 | 11.1.13以降へアップグレード。 |
| 11.1.7~11.1.10 | 11.1.10-h9または11.1.13以降へアップグレード。 | |
| 11.1.5~11.1.6 | 11.1.6-h23または11.1.13以降へアップグレード。 | |
| 11.1.0~11.1.4 | 11.1.4-h27または11.1.13以降へアップグレード。 | |
| PAN-OS 10.2 | 10.2.17~10.2.18 | 10.2.18-h1以降へアップグレード。 |
| 10.2.14~10.2.16 | 10.2.16-h6または10.2.18-h1以降へアップグレード。 | |
| 10.2.11~10.2.13 | 10.2.13-h18または10.2.18-h1以降へアップグレード。 | |
| 10.2.8~10.2.10 | 10.2.10-h30または10.2.18-h1以降へアップグレード。 | |
| 10.2.0~10.2.7 | 10.2.7-h32または10.2.18-h1以降へアップグレード。 | |
| サポート対象外のPAN-OS | サポートされている修正版へアップグレード。 | |
| Prisma Access 11.2 | 11.2~ | 11.2.7-h8以降へアップグレード。 |
| Prisma Access 10.2 | 10.2~ | 10.2.10-h29以降へアップグレード。 |
Palo Alto Networksのファイアウォールは攻撃の標的になりやすく、未公開または未修正のゼロデイ脆弱性が悪用されることも少なくありません。
2024年11月、Palo Alto Networksは、攻撃者がroot権限を取得できるようにする、実際に悪用されていたPAN-OSファイアウォールのゼロデイ2件にパッチを適用しました 。数日後、Shadowserverは、このキャンペーンで数千台のファイアウォールが侵害されていたことを明らかにしました(同社は影響は「ごく少数」に限られるとしていたにもかかわらず)。またCISAは、連邦機関に対し3週間以内にデバイスを保護するよう命じました。
その1か月後の2024年12月、同社は、ハッカーが別のPAN-OSのDoS脆弱性(CVE-2024-3393)を悪用していると顧客に警告しました。DNS Securityのログ記録が有効なPA-Series、VM-Series、CN-Seriesのファイアウォールが標的となり、再起動を強制され、ファイアウォールの保護機能が無効化されるというものです。
その後まもなく2月には、別の3つの欠陥(CVE-2025-0111、CVE-2025-0108、CVE-2024-9474)が、PAN-OSファイアウォールを侵害するために攻撃で連鎖的に悪用されていると発表しました。
さらに最近では、脅威インテリジェンス企業GreyNoiseが、7,000超のIPアドレスからのブルートフォースおよびログイン試行により、Palo Alto GlobalProtectポータルを標的とする自動化キャンペーンについて警告しました。GlobalProtectはPAN-OSファイアウォールのVPNおよびリモートアクセス機能で、多くの政府機関、サービスプロバイダー、大企業で利用されています。
Palo Alto Networksの製品およびサービスは世界中で7万社以上の顧客に利用されており、米国の大手銀行の大半や、Fortune 10企業の90%も含まれます。
