パロアルトネットワークスが、そのCortex XDRブローカー仮想マシン(VM)で新たに発見された脆弱性に関するセキュリティアドバイザリーを発行しました。
CVE-2026-0231として追跡されているこの中程度の重大度の欠陥により、脅威アクターが機密システム情報にアクセスして変更することができる可能性があります。
ブローカーVMはオンプレミスのネットワークアセットとクラウドベースのCortex XDRプラットフォームの間の重要な橋として機能するため、このコンポーネントの保護は組織の全体的な防御姿勢を維持するために重要です。
脆弱性の理解
この欠陥は、機密システム情報の公開(CWE-497)として正式に分類されており、システムが特定の管理機能をどのように処理するかに根ざしています。
認証されたユーザーは、Cortexユーザーインターフェイス(UI)を通じて直接ライブターミナルセッションをトリガーすることによってこの弱点を悪用できます。ターミナルセッションがアクティブになると、攻撃者は設定を操作する能力を得ます。
この不正アクセスにより、非常に機密性の高いデータを抽出し、システムのコアパラメータを変更することができ、セキュリティアプライアンスの整合性を損なう可能性があります。
システムの機密性、整合性、可用性への深刻な潜在的な影響にもかかわらず、この脆弱性はCVSS v4.0の脅威スコアが5.7です。
この中程度の評価は、成功した攻撃に必要な厳密な前提条件を反映しています。CVE-2026-0231を悪用するには、攻撃者は公開インターネットからランダムに攻撃することはできません。
彼らはすでにブローカーVMへの直接的なローカルネットワークアクセスを持っており、高レベルの管理者権限を持つ必要があります。
脅威アクターがこれらの困難な条件を満たす場合、実際の攻撃の複雑性は低く、エクスプロイトを実行するためにさらなるユーザーの相互作用は不要です。
セキュリティチームは発見のタイムラインに満足することができます。パロアルトネットワークスはこの脆弱性を自社のセキュリティ研究プロセスを通じて内部で特定しました。
ベンダーは、現在野生での悪意のある利用の既知のインスタンスがないことを確認しています。
さらに、エクスプロイト成熟度は報告されていないことを示しており、公開エクスプロイトコードまたは概念実証がより広いハッカーコミュニティ内で共有されていないことを示しています。
脆弱性はソフトウェアの特定バージョンに限定されます。30.0.49より前のCortex XDRブローカーVMブランチバージョンは脆弱です。
パロアルトネットワークによると、この問題は特定の、または珍しいシステム構成が利用を引き起こすために必要ではないため、このレンジ内のすべてのインストールに影響を与えます。
軽減策とソリューション
利用を防ぐための既知の一時的な回避策または軽減策がないため、公式ベンダーパッチを適用することが唯一の信頼できる防御です。ネットワーク管理者は以下の手順をすぐに実装する必要があります:
- 影響を受けたシステムをCortex XDRブローカーVMバージョン30.0.49以降にアップデートします。
- 自動アップグレードがブローカーVMで有効になっているかどうかを確認してください。有効な場合、パッチは手動操作なしで自動的に適用されます。
- 現在無効になっている場合は自動アップグレードを有効にして、すべての将来のセキュリティパッチが遅延なく配信およびインストールされることを確認してください。
翻訳元: https://gbhackers.com/palo-alto-cortex-xdr-broker-vulnerability/
