Palo Alto Networksは、未認証の攻撃者がセキュリティ防御を事実上無力化できる、同社ファイアウォール内の危険な脆弱性の修正に成功した。この欠陥はサービス拒否(DoS)攻撃を引き起こすために悪用可能で、最終的にデバイスをメンテナンスモードへ移行させ、すべてのトラフィックフィルタリング機能が停止する。
CVE-2026-0227として指定されたこの脆弱性は、GlobalProtectのポータルまたはゲートウェイが有効になっている場合、PAN-OSバージョン10.1以降で動作する次世代ファイアウォール、およびPrisma Accessのクラウドエコシステムに影響する。同社は、繰り返しの悪用試行によりファイアウォールが通常動作を停止し、ネットワークの防御境界が実質的に断ち切られると明らかにした。
Palo Alto Networksは、Prisma Accessクラウドの導入の大半はすでに強化済みであると説明した。残る顧客については、計画メンテナンスのサイクルに合わせて修正版へ移行される。なお、勧告の公表時点では、実環境での活発な悪用の証拠は確認されていない。
Shadowserver 研究プロジェクトのテレメトリによれば、約6,000台のPalo Alto Networks製ファイアウォールが依然としてパブリックインターネットに露出している。これらのデバイスのうち、脆弱な構成を使用している割合や、更新待ちの割合は現時点で不明である。
同社は影響を受けるすべてのPAN-OS系統向けにパッチを公開しており、管理者に対して最新のソフトウェアリリースを可能な限り迅速に適用するよう強く促している。サポート終了(EOL)版を運用しているシステムは、欠陥が解消された現行リリースへ移行することが推奨される。
同時に、専門家は、数千の異なるIPアドレスから発信されるGlobalProtectポータルを標的とした自動化されたクレデンシャルスタッフィング攻撃キャンペーンを記録している。このコンポーネントはVPNアクセスとリモート業務を可能にし、政府機関や多国籍企業で広く利用されている。
Palo Alto Networksの製品・サービスは世界で7万社超の顧客に利用されており、米国の主要金融機関やFortune 10の約90%も含まれることから、この種の脆弱性は世界の産業基盤の安定性にとって極めて重大である。
翻訳元: https://meterpreter.org/the-kill-switch-palo-alto-patches-globalprotect-flaw-that-freezes-firewalls/
