TokyoBlackHatNews

csoonline.com 4分で読了

Palo Alto Networks、新たなサービス拒否の欠陥発見を受けてファイアウォールにパッチを提供

以前、ほぼ同一のゼロデイDoS脆弱性が実際の攻撃で悪用されており、今回のものについてもすでにPoCが存在する。

Palo Alto Networksは、研究者が攻撃者によってサービス拒否(DoS)を引き起こすために悪用され得る高深刻度の脆弱性を発見したことを受け、同社のPAN-OSファイアウォールプラットフォーム向けにパッチを公開した。

CVE-2026-0227として識別され、CVSS 7.7(「高」)の深刻度評価が付けられたこの欠陥は、同社のGlobalProtectリモートアクセスゲートウェイまたはポータルを有効にしたPAN-OS NGFW(次世代ファイアウォール)またはPrisma Access構成を運用している顧客に影響する。

未修正のままだと、「認証されていない攻撃者がファイアウォールに対してサービス拒否を引き起こすことが可能になります。この問題を繰り返しトリガーしようとすると、ファイアウォールはメンテナンスモードに入ります」とPalo Altoのアドバイザリは述べている。

同社は、ファイアウォールがメンテナンスモードに入ることの影響を明確には説明していないが、管理者が問題対応に追われる中でネットワーク障害を引き起こさないとは考えにくい。

Palo Alto Networksは実際の攻撃での悪用を把握していないとしているものの、アドバイザリには、この問題が匿名の研究者から報告されたこと、そして概念実証(PoC)コードが存在することも記されている。

PoCは流出したり独自に再現されたりしがちなことを踏まえると、この問題を「中程度の緊急度」とするPalo Altoの説明は楽観的に読める。

この新たな脆弱性は、2024年後半に発生した、影響を受けるファイアウォールをメンテナンスモードに移行させるほぼ同一のPalo Alto NetworksのDoS問題CVE-2024-3393を想起させる。その際は、パッチが公開される前に攻撃者が問題を把握しており、ゼロデイ脆弱性となった。 

より最近では12月に、脅威インテリジェンス企業GreyNoiseが確認したところ、GlobalProtectとCisco VPNの双方を標的とする自動化されたログイン試行が増加していた。また2025年初頭には、PAN-OSが深刻なゼロデイの欠陥であるCVE-2025-0108の影響を受け、攻撃者がログイン認証を回避できる状態になっていた。

「Palo Alto Networksのセキュリティアドバイザリによれば、同社はこれまでに約500件の脆弱性を報告しており、その多くがPAN-OSに影響していました。相当数がDoS問題に関連しています」と、脅威インテリジェンス企業Flashpointの担当者は指摘した。「[しかし] Palo Altoの開示のうち、歴史的に相当部分がCVE識別子を付与されておらず、特に古いPAN-OSの問題で顕著です。これはベンダー間の長期的な比較を複雑にし得ます。」

影響を受けるのは誰か?

良いニュースとして、同社のクラウド提供型Secure Access Service Edge(SASE)プラットフォームであるPrisma Accessを利用している顧客の大半は、すでにパッチ適用が完了している。

「アップグレードスケジュールの競合により進行中の少数を除き、ほとんどの顧客に対するPrisma Accessのアップグレードを無事完了しました。残る顧客についても、標準のアップグレードプロセスを通じて速やかにアップグレードを予定しています」とアドバイザリは述べている。

一方で、GlobalProtectゲートウェイまたはポータルを利用しているPAN-OS NGFW顧客は、少なからぬ数が自らパッチを適用する必要がある。Palo Altoは既知の回避策はないとしているが、問題の緩和策として、パッチ適用が完了するまでリモートアクセスを失う代償を伴うものの、VPNインターフェースを一時的に無効化できる可能性がある。

Palo Alto Networksは、使用中の基盤となるPAN-OSのバージョン(12.1、11.2、11.1、10.2)に応じて適用すべきパッチが異なる詳細な表を公開している。10.2より古いバージョンはサポート対象外であり、対処はサポートされているパッチ適用済みバージョンへ更新することだ。

可用性の中断

Flashpointによれば、DoS状態は企業をより広範なセキュリティ脅威にさらすものではない。「現代のエンタープライズ向けファイアウォールは、『フェイルオープン』ではなく『フェイルクローズ』するよう設計されています。したがって、DoS状態によりメンテナンスモードに入ることは、直接的なセキュリティ露出というより、潜在的な可用性の中断として特徴づけるのがより正確です」と同社担当者は述べた。「ここでの中核的なリスクは、侵害というよりレジリエンスにあるようです。」

この記事は元々NetworkWorldに掲載された。

翻訳元: https://www.csoonline.com/article/4117730/palo-alto-networks-patches-firewalls-after-discovery-of-a-new-denial-of-service-flaw-2.html

ソース: csoonline.com
#CVE-2026-0227 #GlobalProtect #Palo Alto Networks #PAN-OS #Prisma Access #サービス妨害(DoS) #ゼロデイ #パッチ適用 #ファイアウォール #脆弱性

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く