GlobalProtect Agentにおける情報漏洩

この脆弱性を悪用されると、攻撃者は認証されたローカルアカウントを侵害し、メモリを検査することで、VPNセッションの認証およびセッショントークンにアクセスできます。これにより、攻撃者はVPNセッションを偽装し、ユーザーとしてネットワークリソースにアクセスできるようになります。攻撃者は、機密データへの不正アクセス、システムへの不正な操作、さらにはネットワーク全体への横展開を試みる可能性があります。この脆弱性は、特にVPNを介して機密データにアクセスする組織にとって深刻なリスクとなります。

Organizations utilizing Palo Alto Networks GlobalProtect Agent for remote access, particularly those with legacy systems or configurations lacking robust access controls, are at risk. Users with elevated privileges or access to sensitive data are especially vulnerable.

• windows / supply-chain:

Get-Process -Name GlobalProtectAgent | Select-Object -ExpandProperty Path

• windows / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID = 1000 -ProviderName GlobalProtectAgent" | Select-String -Pattern "authentication token"

• windows / supply-chain: Check Autoruns for unusual entries related to GlobalProtect Agent or its components.

1. 2019-04-09Disclosure

   disclosure

1. 予約済み2018-12-06
2. 公開日2019-04-09
3. 更新日2024-09-16
4. EPSS 更新日2026-04-02

この脆弱性への主な対策は、GlobalProtect Agentをバージョン4.1*にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、VPN接続の認証プロセスを強化することを検討してください。例えば、多要素認証（MFA）を有効にすることで、攻撃者がトークンを盗んでも、セッションを偽装することを困難にすることができます。また、メモリ検査を検出するための監視システムを導入し、異常なアクティビティを検知することも有効です。アップグレード後、システムログを確認し、不正なアクセスがないことを確認してください。