技術情報・コラム記事
セキュリティセキュリティ

2024年11月 セキュリティ情報 Palo Alto Networks 社PAN-OS の複数脆弱性 [CVE-2024-0012]など

目次

ご挨拶

インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。

2024年11月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。

注目した脆弱性(Palo Alto Networks 社PAN-OS の複数脆弱性 [CVE-2024-0012/CVE-2024-9474])

情報公開日:2024/11/18(現地時間)

一次情報元(引用元) "Palo Alto Networks Security Advisories"CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)
"Palo Alto Networks Security Advisories"CVE-2024-9474 PAN-OS: Privilege Escalation (PE) Vulnerability in the Web Management Interface
その他、情報ソース "Unit42(Palo Alto Networks)" Threat Brief: Operation Lunar Peek, Activity Related to CVE-2024-0012 and CVE-2024-9474 (Updated Nov. 22)
"Cybersecurity Help s.r.o." Authentication bypass in Palo Alto Networks PAN-OS management web interface
"Cybersecurity Help s.r.o." Remote unauthenticated code execution in Palo Alto PAN-OS
CVE番号及び深刻度 CVE番号:CVE-2024-0012 深刻度:CRITICAL (スコア:9.3)
 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N/E:A/AU:N/R:U/V:C/RE:H/U:Red
CVE番号:CVE-2024-9474 深刻度:MEDIUM (スコア:6.9)
 CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:A/AU:N/R:U/V:C/RE:H/U:Red

但し、管理インターフェイスへのアクセス制限を行っていた場合は深刻度は低くなります。詳細は「一次情報元(引用元)」のサイトをご確認ください。
脆弱性内容 Palo Alto Networks 社は現地時間11月18日、同社が提供する次世代ファイアウォール用のOS「PAN-OS」の管理Webインターフェイス脆弱性「CVE-2024-0012」「CVE-2024-9474」を公表。
「CVE-2024-0012」は認証バイパス、「CVE-2024-9474」は権限昇格の脆弱性となっている。
なお、両脆弱性を組み合わせて悪用した攻撃が確認されており、同社は初期の攻撃活動を「Operation Lunar Peek」と名付け、外部研究者や顧客と連携しつつ、悪用事例について調査を進めている。
想定される影響 当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。
なお、確認されている事象では管理Webインターフェイスに対しコマンドを実行したり、ウェブシェルをはじめとするマルウェアをファイアウォール上へ設置していたとのことです。
影響を受ける製品 ●CVE-2024-0012/CVE-2024-9474 PAN-OS 11.2 : 11.2.4-h1より前のバージョン
PAN-OS 11.1 : 11.1.5-h1より前のバージョン
PAN-OS 11.0 : 11.0.6-h1より前のバージョン
PAN-OS 10.2 : 10.2.12-h2より前のバージョン

●CVE-2024-9474のみ PAN-OS 10.1 : 10.1.14-h6より前のバージョン
解決策 ・当該脆弱性に対応したバージョンへのUpdate
 ⇒詳細については「一次情報元(引用元)」でご確認ください。
・緩和策
 ⇒管理Webインターフェイスに対するアクセス制限を設定。
コメント 本脆弱性は既に悪用されているので、管理Webインターフェイスが外部公開されていないか早急に確認することを推奨いたします。
もし、管理Webインターフェイスが外部公開されていた場合は、「その他、情報ソース」にある「Unit42(Palo Alto Networks)」に攻撃痕跡情報(IoC)のリンクがありますので、そちらの情報を使い確認し適宜ご対応ください。

その他、注目した脆弱性/ソフトウェアUpdate情報

2024年10月下旬の脆弱性/ソフトウェアUpdateも含まれております。

日付 ソフトウエア 情報/コメント
2024/10/29 Safari Apple 社は、ブラウザSafari のアップデートを公開。

"About the security content of Safari 18.1"
https://support.apple.com/en-il/121571
2024/11/4 Android Google 社は、Androidのセキュリティ更新プログラムを公開。なお、ローカル経由で悪用可能な脆弱性「CVE-2024-43047」「CVE-2024-43093」は限定的かつ標的を絞った悪用の対象となっている兆候があるとのこと。(他サイトでは悪用確認済というコメントもある)

"Android Security Bulletin November 2024"
https://source.android.com/docs/security/bulletin/2024-11-01
2024/11/5 Google Chrome Google 社は、デスクトップ向け及びAndorid 向けのGoogle Chrome のアップデートを公開。

"Stable Channel Update for Desktop (Tuesday, November 5, 2024)"
https://chromereleases.googleblog.com/2024/11/stable-channel-update-for-desktop.html
"Chrome for Android Update (Tuesday, November 5, 2024)"
https://chromereleases.googleblog.com/2024/11/chrome-for-android-update.html
2024/11/6 シスコシステムズ合同会社複数製品 シスコシステムズ合同会社は同社の複数製品のセキュリティアドバイザリを公開。各製品の脆弱性が修正されている。

"Cisco Security Advisories"
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
2024/11/12 Microsoft 社複数製品 Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用/第三者から情報公開された脆弱性4件も修正されている。

"2024 年 11 月のセキュリティ更新プログラム"
https://msrc.microsoft.com/update-guide/releaseNote/2024-Nov
"2024 年 11 月のセキュリティ更新プログラム (月例)"
https://msrc.microsoft.com/blog/2024/11/202411-security-update/

悪用/第三者から情報公開された脆弱性
"Microsoft Exchange Server Spoofing Vulnerability CVE-2024-49040"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49040
"Active Directory Certificate Services Elevation of Privilege Vulnerability CVE-2024-49019"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49019
"NTLM Hash Disclosure Spoofing Vulnerability CVE-2024-43451"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43451
"Windows Task Scheduler Elevation of Privilege Vulnerability CVE-2024-49039"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49039
2024/11/12 Fortinet 社複数製品 Fortinet 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。

"PSIRT Advisories"
https://www.fortiguard.com/psirt
2024/11/12 Adobe 社複数製品 Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。

"Latest Product Security Updates"
https://helpx.adobe.com/security.html
2024/11/12 Node.js 「Node.js」開発チームはNode.jp v23.2.0/v18.20.5 (LTS) をリリース。

"Node v23.2.0 (Current)"
https://nodejs.org/en/blog/release/v23.2.0
"Node v18.20.5 (LTS)"
https://nodejs.org/en/blog/release/v18.20.5
2024/11/12 Google Chrome Google 社は、デスクトップ(拡張安定化版含む)向け及びiOS 向けのGoogle Chrome のアップデートを公開。

"Stable Channel Update for Desktop (Tuesday, November 12, 2024)"
https://chromereleases.googleblog.com/2024/11/stable-channel-update-for-desktop_12.html
"Extended Stable Updates for Desktop (Tuesday, November 12, 2024)"
https://chromereleases.googleblog.com/2024/11/extended-stable-updates-for-desktop.html
"Chrome Stable for iOS Update (Tuesday, November 12, 2024)"
https://chromereleases.googleblog.com/2024/11/chrome-stable-for-ios-update_12.html
2024/11/13 Laravel Laravel 開発チームは、動作環境を変更される脆弱性 CVE-2024-52301の修正バージョンを公開。

"Environment manipulation via query string"
https://github.com/laravel/framework/security/advisories/GHSA-gv7v-rgg6-548h
2024/11/14 WordPress プラグイン「Really Simple Security」 WordPress プラグイン「Really Simple Security」開発者は2要素認証処理に存在した脆弱性 CVE-2024-10924の修正バージョンが公開された。

"Really Simple Security (Free, Pro, and Pro Multisite) 9.0.0 - 9.1.1.1 - Authentication Bypass"
https://www.wordfence.com/threat-intel/vulnerabilities/detail/really-simple-security-free-pro-and-pro-multisite-900-9111-authentication-bypass
2024/11/18 Apache Tomcat The Apache Software FoundationはApache Tomcat の複数脆弱性の修正バージョンを公開した。

"CVE-2024-52318 Apache Tomcat - XSS in generated JSPs"
https://lists.apache.org/thread/co243cw1nlh6p521c5265cm839wkqdp9
"CVE-2024-52317 Apache Tomcat - Request and/or response mix-up"
https://lists.apache.org/thread/ty376mrxy1mmxtw3ogo53nc9l3co3dfs
"CVE-2024-52316 Apache Tomcat - Authentication Bypass"
https://lists.apache.org/thread/lopzlqh91jj9n334g02om08sbysdb928
2024/11/19 Apple 社複数製品 Apple 社は、同社の複数製品のセキュリティUpdate を公開。悪用が確認されているJavaScriptコア(RCE)及びWebKit(XSS)の脆弱性も修正されている。

"About the security content of Safari 18.1.1"
https://support.apple.com/en-il/121756
"About the security content of visionOS 2.1.1"
https://support.apple.com/en-il/121755
"About the security content of iOS 18.1.1 and iPadOS 18.1.1"
https://support.apple.com/en-il/121752
"About the security content of iOS 17.7.2 and iPadOS 17.7.2"
https://support.apple.com/en-il/121754
"About the security content of macOS Sequoia 15.1.1"
https://support.apple.com/en-il/121753
2024/11/19 Google Chrome Google 社は、デスクトップ向け及びAndorid 向けのGoogle Chrome のアップデートを公開。

"Stable Channel Update for Desktop (Tuesday, November 19, 2024)"
https://chromereleases.googleblog.com/2024/11/stable-channel-update-for-desktop_19.html
"Chrome for Android Update (Tuesday, November 19, 2024)"
https://chromereleases.googleblog.com/2024/11/chrome-for-android-update_19.html
2024/11/20 7-Zip Zero Day Initiativeは開発元に2024年6月に通知していた7-Zipのリモートコード実行可能な脆弱性を公開。

"7-Zip Zstandard Decompression Integer Underflow Remote Code Execution Vulnerability"
https://www.zerodayinitiative.com/advisories/ZDI-24-1532/
2024/11/26 Mozilla Firefox /Firefox for iOS /Firefox ESR /Thunderbird Mozilla 社は、ブラウザMozilla Firefox(iOS版含む) /Firefox ESR 及びメールソフトThunderbird のセキュリティアップデートを公開。

"MMozilla Foundation Security Advisory 2024-63 Security Vulnerabilities fixed in Firefox 133"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-63/
"Mozilla Foundation Security Advisory 2024-64 Security Vulnerabilities fixed in Firefox ESR 128.5"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-64/
"Mozilla Foundation Security Advisory 2024-65 Security Vulnerabilities fixed in Firefox ESR 115.18"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-65/
"Mozilla Foundation Security Advisory 2024-66 Security Vulnerabilities fixed in Firefox for iOS 133"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-66/
"Mozilla Foundation Security Advisory 2024-67 Security Vulnerabilities fixed in Thunderbird 133"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-67/
"Mozilla Foundation Security Advisory 2024-68 Security Vulnerabilities fixed in Thunderbird 128.5"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-68/

注目したインシデント

2024年10月下旬のインシデント情報も含まれております。

公表日 発生組織/業種 インシデント内容 情報/コメント
2024/10/29 製造業 通販サイトへの不正アクセスによるカード情報漏えいの可能性 システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが原因と同社は述べている。
2024/10/31 食品・飲料 通販サイトへの不正アクセスによる情報漏えいの可能性 原因は「内在していた脆弱性を第三者が利用し、ペイメントアプリケーション改ざん」とコメント。
2024/10/31 小売業 誤設定による情報漏えいの可能性 同社の子会社が利用するクラウドサービス上にて権限付与の誤設定があり、公開を予定していない一部ユーザの個人情報を第三者が閲覧できる状態にあったとのこと。
2024/11/1 映像制作 メール誤送信による情報漏えい 原因はデータ送信前のダブルチェック不備により発生したとコメントしている。
2024/11/2 自治体 メール誤送信による情報漏えい メーリングリストの名称を職員が勝手に変更。それに気付かずメールを送信したことにより問題が発生した。
2024/11/5 仏壇・仏具 通販サイトへの不正アクセスによる情報漏えいの可能性 「ウェブサイトのシステムに存在した脆弱性に対し不正アクセスが行われ、決済アプリケーションの改ざんなど被害が発生」と述べている。
2024/11/8 薬局 サポート詐欺による情報漏えいの可能性 サポート詐欺に遭い、遠隔操作ソフトをインストールしてしまったとのこと。
2024/11/8 自動車関連業 USBメモリ紛失による個人情報漏えいの可能性 私物USBメモリに従業員の個人情報を含むデータを入れたものを紛失。
2024/11/11 大学 メールアカウントへの不正アクセス 学生1名のメールアカウントに不正アクセスされ、迷惑メール送信の踏み台にされたとのこと。
2024/11/12 大学 電子掲示システム設計不備による情報漏えいの可能性 当初、数十桁に及ぶURLを特定する必要があり外部からの閲覧は困難であると判断。しかし、その後、一部検索エンジンにより検索結果に同システムに添付されているファイル名が表示されることが判明した。
2024/11/13 建設コンサルタント業 サーバへの不正アクセスによる業務情報漏えいの可能性 詳細は掲載されていないが、サーバ内部に保存されていた業務関連データが不正に外部送信された可能性があるとのこと。
2024/11/13 スポーツ用品 通販サイトへのリスト型攻撃 不正ログインが確認された件数は200件以上で、会員にパスワード変更等を促している。
2024/11/13 コンサルタント業 元社員の個人情報不正持ち出し 原因は情報保護に関する内部管理体制が不十分であったことであるとコメントしており、不正アクセスは否定している。
2024/11/15(報道) 放送業 Webサイトへの不正アクセスによる個人情報漏えいの可能性 不審な通信検知により問題が発覚。原因は「ウェブサイトのプログラムに存在した脆弱性を突く不正アクセス」とコメントしている。
2024/11/15 団体・連合会 ランサムウェア感染 業務管理システムがランサムウェアに感染したことを報告。その他情報については未公開。
2024/11/18 大学 研究室サーバーへの不正アクセスによる個人情報漏えい 攻撃者と思しき人物は教員のアカウントを乗っ取り、不正ログインを繰り返していたとのこと。
2024/11/19 通販 登録ユーザアカウントへの不正アクセス 1万人以上のユーザアカウントに不正ログインがあったことのこと。パスワードリスト攻撃なのか窃取されたID/パスワード情報によるものなのかはコメントしていない。
2024/11/21 公益財団法人 サポート詐欺による情報漏えいの可能性 サポート詐欺に遭い、遠隔操作ソフトをインストールしてしまったとのこと。なお、漏えいの可能性がある情報は取り扱い的にセンシティブなものであった。
2024/11/21 通販 通販サイトへの不正アクセスによる情報漏えいの可能性 不正アクセス経路は不明だが、スクリプト改ざんと記載がされていた。
2024/11/25 通販 通販サイトへの不正アクセスによる情報漏えいの可能性 原因は「システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざん」とコメントしている。
TOP技術情報・コラム記事2024年11月 セキュリティ情報 Palo Alto Networks 社PAN-OS の複数脆弱性 [CVE-2024-0012]など