Palo Alto Networksは、Cortex XSOARおよびCortex XSIAMプラットフォームの深刻な脆弱性に対処するため、高優先度のセキュリティ更新プログラムをリリースしました。
CVE-2026-0234として追跡されるこのセキュリティ欠陥は、Microsoft Teams統合内に存在します。攻撃が成功すると、認証されていない攻撃者が保護されたリソースにアクセスして変更することができるため、ベンダーはパッチに最高レベルの緊急性を割り当てました。
Cortex XSOAR(セキュリティオーケストレーション、オートメーション、レスポンス)およびXSIAM(拡張セキュリティインテリジェンスとオートメーション管理)は、セキュリティオペレーションセンターが脅威対応を自動化するために使用する重要なツールです。
これらのツールをMicrosoft Teamsと統合すると、セキュリティ要員は進行中のインシデントについて効率的に協力することができます。残念ながら、この統合がセキュリティチェックをどのように処理するかの欠陥により、深刻な脆弱性が生じています。
核となる問題は、CWE-347として技術的に分類される暗号署名の不適切な検証に起因しています。
安全なネットワークでは、暗号署名はデジタル認証印のように機能し、着信データが本物であり、転送中に改ざんされていないことを証明します。
これらのCortexプラットフォームのMicrosoft Teams統合がこれらのデジタル署名を適切に検証できないため、リモート攻撃者は自分の身元を詐称することができます。
この見落としは、有効なユーザー名、パスワード、またはユーザー操作なしにアクセスを許可するようにシステムを効果的にトリックします。一度内部に入ると、攻撃者は保護されたデータに静かにアクセスして変更する能力を得ます。
組織がこれらのプラットフォームを使用して全体的なセキュリティ態勢を管理しているため、不正な変更はインシデント対応ワークフローを中断させたり、悪意のあるネットワークアクティビティを隠したり、機密の脅威インテリジェンスを外部に暴露させたりする可能性があります。
この脆弱性はBase CVSS 4.0スコア9.2を持ち、その深刻な性質を反映しています。欠陥は初期権限やユーザー操作を必要としませんが、攻撃の複雑さは高いと評価されています。
これは、脅威アクターが侵入を成功させるために特定の環境条件または高度な技術知識が必要であることを意味します。
この脆弱性は、Palo Alto Networksプラットフォームで使用されるMicrosoft Teams Marketplaceの特定のバージョンに影響を与えます。組織が次のビルドを実行している場合、現在リスクにさらされています:
- Cortex XSIAM Microsoft Teams Marketplace 1.5(バージョン1.5.0~1.5.51)。
- Cortex XSOAR Microsoft Teams Marketplace 1.5(バージョン1.5.0~1.5.51)。
Palo Alto Networksは管理者に対し、Microsoft Teams Marketplace統合を直ちにバージョン1.5.52以降にアップグレードするよう強く求めています。
この脅威をブロックするために利用可能な既知の一時的な回避策または軽減策がないため、公式パッチを適用することが影響を受けた環境を保護する唯一の有効な方法です。
翻訳元: https://gbhackers.com/palo-alto-cortex-xsoar-flaw-in-microsoft-teams-integration/
