プラットフォーム
paloalto
コンポーネント
pan-os
修正版
8.0.1
7.1.26
8.1.12
9.0.6
CVE-2020-2018は、Palo Alto Networks PAN-OSのPanoramaコンテキストスイッチ機能における認証バイパス脆弱性です。この脆弱性を悪用されると、攻撃者はネットワーク経由でPanoramaの管理インターフェースにアクセスし、管理対象ファイアウォールへの特権アクセスを取得する可能性があります。影響を受けるバージョンはPAN-OS 7.1未満7.1.26、8.1未満8.1.12、9.0未満9.0.6、およびPAN-OS 8.0全バージョンです。9.0.6へのアップグレードでこの脆弱性は修正されています。
この認証バイパス脆弱性は、攻撃者がPanoramaの管理インターフェースへのネットワークアクセスを確立した場合、管理対象ファイアウォールへの特権アクセスを容易に取得することを可能にします。攻撃者は、この特権アクセスを利用して、ファイアウォールの設定を変更したり、機密情報を盗んだり、さらにはネットワーク全体に横展開を行う可能性があります。特に、Panoramaを介して管理されている複数のファイアウォールが存在する場合、この脆弱性の影響範囲は広大になる可能性があります。この脆弱性は、Log4Shellのような脆弱性と同様に、ネットワークインフラストラクチャ全体に深刻な影響を与える可能性があります。
CVE-2020-2018は、公開されており、攻撃者が容易に悪用できる可能性があります。KEV(カーティス・エマニュエル・セキュリティ・アドバイザリー)への登録状況は不明ですが、CVSSスコアがCRITICALであるため、攻撃の可能性は高いと考えられます。現時点では、公開されているPoC(概念実証)は確認されていませんが、この脆弱性の悪用に関する情報が公開される可能性は十分にあります。NVD(国立脆弱性データベース)およびCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)は、2020年5月13日にこの脆弱性に関する情報を公開しています。
Organizations heavily reliant on Palo Alto Networks firewalls and Panorama for centralized management are particularly at risk. Environments with legacy PAN-OS versions (8.0 and earlier) and those lacking robust network segmentation are also highly vulnerable. Shared hosting environments utilizing Palo Alto firewalls should be especially vigilant, as they may be affected by vulnerabilities in the underlying infrastructure.
• paloalto / firewall:
Get-PanEvent | Where-Object {$_.type -eq "authentication" -and $_.severity -eq "critical"}• paloalto / firewall:
Get-PanDevice | Where-Object {$_.version -lt "9.0.6"}• paloalto / firewall:
Get-PanLog | Where-Object {$_.category -eq "system" -and $_.message -like "*context switching*"}disclosure
patch
エクスプロイト状況
EPSS
0.32% (55% パーセンタイル)
CVSS ベクトル
この脆弱性への最も効果的な対策は、影響を受けるPAN-OSバージョンを9.0.6以降にアップグレードすることです。アップグレードが一時的にシステムを不安定にする可能性がある場合は、事前にバックアップを作成し、テスト環境でアップグレードを検証することを推奨します。アップグレードが不可能な場合は、Panoramaと管理対象デバイス間の通信にカスタム証明書認証を使用することで、この脆弱性の影響を軽減できます。また、WAFやプロキシサーバーを使用して、Panoramaの管理インターフェースへの不正なアクセスをブロックすることも有効です。攻撃者の侵入を検知するために、ログ監視を強化し、異常なアクティビティを検出するためのアラートを設定することも重要です。
PAN-OSを適切なバージョン(7.1.26、8.1.12、または9.0.6以降)にアップデートしてください。バージョン8.0を使用している場合は、サポートされている修正されたバージョンへのアップデートを検討してください。Panoramaが管理対象ファイアウォールとの通信にカスタム証明書で構成されている場合は、対応は不要です。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2020-2018は、Palo Alto Networks PAN-OSのPanoramaコンテキストスイッチ機能における認証バイパス脆弱性です。攻撃者は、この脆弱性を悪用して、管理対象ファイアウォールへの特権アクセスを取得する可能性があります。
PAN-OS 7.1未満7.1.26、8.1未満8.1.12、9.0未満9.0.6、およびPAN-OS 8.0を使用している場合は、影響を受けています。
影響を受けるバージョンを9.0.6以降にアップグレードしてください。アップグレードが難しい場合は、カスタム証明書認証を使用するか、WAF/プロキシサーバーでアクセスを制限してください。
現時点では、公開されているPoCは確認されていませんが、攻撃の可能性は高いと考えられます。
Palo Alto Networksのセキュリティアドバイザリページで確認できます。