セキュリティセキュリティ
2025年2月 セキュリティ情報 Palo Alto Networks 社PAN-OS のファイル読み取り脆弱性 [CVE-2025-0111]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
来月から記事投稿3年目に突入となります!
2025年2月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Palo Alto Networks 社PAN-OS のファイル読み取り脆弱性 [CVE-2025-0111])
情報公開日:2025/2/13(現地時間)
| 一次情報元(引用元) |
"Palo Alto Networks Security Advisories"CVE-2025-0111 PAN-OS: Authenticated File Read Vulnerability in the Management Web Interface |
| その他、情報ソース |
"Cybersecurity Help s.r.o." Arbitrary file read in Palo Alto PAN-OS "CISA.gov" CISA Adds Two Known Exploited Vulnerabilities to Catalog (Release Date: February 20, 2025) |
| CVE番号及び深刻度 |
CVE番号:CVE-2025-0111 深刻度:High (スコア:7.1) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:A/AU:N/R:U/V:C/RE:M/U:Red |
| 脆弱性内容 | アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)は現地時間2025年2月20日、Palo Alto Networks 社のPAN-OS の脆弱性「CVE-2025-0111」が悪用されていることを公表。 当該脆弱性はPAN-OS の管理Webインターフェースに存在し、悪用された場合、PAN-OS ファイルシステム上の「nobody」ユーザ(カーネルによって使用されるユーザ)が読み取り可能なファイルを読み取ることができるものとなっている。 なお、攻撃は管理Webインターフェースにアクセスが可能であること、認証済みユーザであることが条件となる。 |
| 想定される影響 | 当該製品の複数脆弱性を使用し、データ改ざんや情報漏えいなど、整合性/機密性に悪影響を与える可能性がある。 (実際に同社は複数脆弱性を連鎖させた攻撃試行を確認しているとコメントしております) |
| 影響を受ける製品 |
PAN-OS 11.2 11.2.4-h4 / 11.2.5 より前のバージョン PAN-OS 11.1 11.1.2-h18 / 11.1.4-h13 / 11.1.6-h1 より前のバージョン PAN-OS 10.2 10.2.7-h24 / 10.2.8-h21 / 10.2.9-h21 / 10.2.10-h14 / 10.2.11-h12 / 10.2.12-h6 / 10.2.13-h3 より前のバージョン PAN-OS 10.1 10.1.14-h9 より前のバージョン |
| 解決策 | ・当該脆弱性に対応したバージョンへのUpdate ⇒詳細については「一次情報元(引用元)」でご確認ください。 緩和策としては管理Webインターフェースへのアクセス制限となります。 |
| コメント |
本脆弱性は他脆弱性と併せて悪用されるものだが、ネットワークセキュリティ製品で使用されるOSであるため、攻撃が成功された場合のインパクトが非常に大きい。 まずは管理Webインターフェースが外部公開されていないか確認し、外部公開されている場合は優先度を最高にした上で対応することを強く推奨いたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
2025年1月下旬の脆弱性/ソフトウェア情報も含まれております。
| 日付 | ソフトウエア | 情報/コメント |
| 2025/1/30 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (January 30, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#january-30-2025 |
| 2025/2/4 | Mozilla Thunderbird /Thunderbird ESR /Firefox /Firefox ESR | Mozilla 社はThunderbird/Thunderbird ESR /Firefox /Firefox ESR のセキュリティアップデートを公開。悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。
"Mozilla Foundation Security Advisory 2025-11 Security Vulnerabilities fixed in Thunderbird 135" https://www.mozilla.org/en-US/security/advisories/mfsa2025-11/ "Mozilla Foundation Security Advisory 2025-10 Security Vulnerabilities fixed in Thunderbird ESR 128.7" https://www.mozilla.org/en-US/security/advisories/mfsa2025-10/ "Mozilla Foundation Security Advisory 2025-07 Security Vulnerabilities fixed in Firefox 135" https://www.mozilla.org/en-US/security/advisories/mfsa2025-07/ "Mozilla Foundation Security Advisory 2025-08 Security Vulnerabilities fixed in Firefox ESR 115.20" https://www.mozilla.org/en-US/security/advisories/mfsa2025-08/ "Mozilla Foundation Security Advisory 2025-09 Security Vulnerabilities fixed in Firefox ESR 128.7" https://www.mozilla.org/en-US/security/advisories/mfsa2025-09/ |
| 2025/2/4 | Google Chrome | Google 社は、デスクトップ向け[拡張安定化版含む]及びAndorid 向けのGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, February 4, 2025)" https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop.html "Extended Stable Updates for Desktop (Tuesday, February 4, 2025)" https://chromereleases.googleblog.com/2025/02/extended-stable-updates-for-desktop.html "Chrome for Android Update (Tuesday, February 4, 2025)" https://chromereleases.googleblog.com/2025/02/chrome-for-android-update.html |
| 2025/2/5 | F5 社複数製品 | F5 社は4半期のセキュリティ通知を公開。同社複数製品の深刻度の高い複数脆弱性についても修正されている。
"K000149540: Quarterly Security Notification (February 2025)" https://my.f5.com/manage/s/article/K000149540 |
| 2025/2/6 | 7-Zip | アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)は、1/29に公開した7-Zipの脆弱性が悪用されていることを公表。
"CISA Adds Five Known Exploited Vulnerabilities to Catalog (Release Date : February 06, 2025)" https://www.cisa.gov/news-events/alerts/2025/02/06/cisa-adds-five-known-exploited-vulnerabilities-catalog "7-Zip Mark-of-the-Web Bypass Vulnerability ZDI-25-045 ZDI-CAN-25456" https://www.zerodayinitiative.com/advisories/ZDI-25-045/ "CVE-2025-0411: Ukrainian Organizations Targeted in Zero-Day Campaign and Homoglyph Attacks" https://www.trendmicro.com/en_us/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html |
| 2025/2/6 | Microsoft Outlook | CISAは、現地時間2024/2/13に公開されたMicrosoft Outlook のリモート コード実行脆弱性が悪用されていることを公表。
"CISA Adds Five Known Exploited Vulnerabilities to Catalog (Release Date : February 06, 2025)" https://www.cisa.gov/news-events/alerts/2025/02/06/cisa-adds-five-known-exploited-vulnerabilities-catalog "Microsoft Outlook Remote Code Execution Vulnerability CVE-2024-21413" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413 |
| 2025/2/6 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (February 6, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#february-6-2025 |
| 2025/2/10 | Apple iOS /iPadOS | Apple 社は、同社のiOS、iPadOS のセキュリティUpdate を公開。個人を標的とした高度な攻撃で悪用された可能性が高い脆弱性(CVE-2025-24200)が修正されている。
CVE-2025-24085が修正されている製品情報 "About the security content of iOS 18.3.1 and iPadOS 18.3.1" https://support.apple.com/en-il/122174 "About the security content of iPadOS 17.7.5" https://support.apple.com/en-il/122173 |
| 2025/2/11 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用確認済み2件、第三者から情報開示された脆弱性2件も修正されている。
"2025 年 2 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Feb "2025 年 2 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2025/02/202502-security-update/ 悪用確認済みの脆弱性 "Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability CVE-2025-21418" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21418 "Windows Storage Elevation of Privilege Vulnerability CVE-2025-21391" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21391 第三者から情報開示された脆弱性 "Microsoft Surface Security Feature Bypass Vulnerability CVE-2025-21194" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21194 "NTLM Hash Disclosure Spoofing Vulnerability CVE-2025-21377" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21377 |
| 2025/2/11 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/2/13 | PHPの複数バージョン | PHPの複数バージョン「8.4.4」「8.3.17」をリリース。
"ChangeLog - Version 8.4.3" https://www.php.net/ChangeLog-8.php#8.4.4 "ChangeLog - Version 8.3.16" https://www.php.net/ChangeLog-8.php#8.3.17 |
| 2025/2/14 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。Microsoft Edge 固有の脆弱性1件も修正されている。
"Release notes for Microsoft Edge Security Updates (February 14, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#february-14-2025 |
| 2025/2/18 | SonicOS | CISAは、現地時間2025/1/8に公開されたSonicWall 社のSSLVPN 認証バイパス脆弱性が悪用されていることを公表。
"CISA Adds Two Known Exploited Vulnerabilities to Catalog (Release Date : February 18, 2025)" https://www.cisa.gov/news-events/alerts/2025/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalog "Security Advisory Vulnerability List (Advisory ID : SNWLID-2025-0003)" https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0003 |
| 2025/2/18 | Mozilla Firefox | Mozilla 社はFirefox のセキュリティアップデートを公開。悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。
"Mozilla Foundation Security Advisory 2025-12 Security Vulnerabilities fixed in Firefox 135.0.1" https://www.mozilla.org/en-US/security/advisories/mfsa2025-12/ |
| 2025/2/18 | Google Chrome | Google 社は、デスクトップ向け[拡張安定化版含む]及びiOS 向けのGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, February 18, 2025)" https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_18.html "Extended Stable Updates for Desktop (Tuesday, February 18, 2025)" https://chromereleases.googleblog.com/2025/02/extended-stable-updates-for-desktop_18.html "Chrome Stable for iOS Update (Tuesday, February 18, 2025)" https://chromereleases.googleblog.com/2025/02/chrome-stable-for-ios-update_18.html |
| 2025/2/18 | OpenSSH | Qualys 社は、OpenSSHの脆弱性「CVE-2025-26465」「CVE-2025-26466」をPoCも含め公開。
"Qualys TRU Discovers Two Vulnerabilities in OpenSSH: CVE-2025-26465 & CVE-2025-26466" https://blog.qualys.com/vulnerabilities-threat-research/2025/02/18/qualys-tru-discovers-two-vulnerabilities-in-openssh-cve-2025-26465-cve-2025-26466 "Qualys Security Advisory" https://www.qualys.com/2025/02/18/openssh-mitm-dos.txt |
| 2025/2/19 | Movable Type | Six Apart 社は、Movable Type のセキュリティUpdateを公開。複数脆弱性が修正されている。
"[重要] Movable Type 8.0.6 / 8.4.2 / 8.5.0 / 7 r.5507、Movable Type Premium 2.07 / 1.65 の提供を開始(セキュリティアップデート)" https://www.sixapart.jp/movabletype/news/2025/02/19-1100.html |
| 2025/2/21 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (February 21, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#february-21-2025 |
| 2025/2/25 | Google Chrome | Google 社は、デスクトップ向け[拡張安定化版含む]及びAndroid 向けのGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, February 25, 2025)" https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_25.html "Extended Stable Updates for Desktop (Tuesday, February 25, 2025)" https://chromereleases.googleblog.com/2025/02/extended-stable-updates-for-desktop_25.html "Chrome for Android Update (Tuesday, February 25, 2025)" https://chromereleases.googleblog.com/2025/02/chrome-for-android-update_01435294078.html |
注目したインシデント
2025年1月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/1/28 第三報 | 公益財団法人 | 不正アクセスによるシステム障害や情報漏えいの可能性 | 詳細については不明。メールシステムは復旧したが、ホームページはまだ復旧していないとのこと。 |
| 2025/1/28 | 地方自治体 | フォーム誤設定による個人情報漏えい | 誤設定は委託事業者によるもので、今後は複数名での確認を徹底するよう指導したとコメント。 |
| 2025/1/29 第二報 | 一般社団法人(電力) | ランサムウェアによる個人情報漏えいの可能性 | 原因等が判明。原因はシステムの一部脆弱性が悪用され不正侵入、ランサムウェア攻撃が行われたとのこと。 |
| 2025/1/30 | 飲食・小売業 | 不正アクセスによる個人情報漏えいの可能性 | 不正アクセスの調査中に再び不正アクセスが発生したとのこと。なお、最初の不正アクセス時、アクセス元を遮断するなどの措置を講じていたとコメントしている。 |
| 2025/1/30 | 建設・不動産業 | ランサムウェア被害 | 復旧作業を優先しているので、調査等は時間がかかるとコメントしている。 |
| 2025/2/4 | 報道 | フォーム誤設定による個人情報漏えい | 同社が設置したウェブ応募用フォームの誤設定により、約850名の情報が第三者閲覧可能となっていた。 |
| 2025/2/4 | 製造業 | ランサムウェア感染 | 詳細は明らかにしていないが、侵入経路については、ほぼ特定できていると説明。情報流出の有無なども含め、引き続き調査するとともに、復旧対応を進めるとしている。 |
| 2025/2/5 | 損害保険業 | Web サイト改ざん | 公式サイトや契約サイト、マイページにあるそれぞれの「お知らせ」上で、不適切な記載が公開されていたとのこと。攻撃経路については調査中とコメントしている。 |
| 2025/2/5 | 運送業 | ランサムウェア感染 | バックアップデータで復元はしたが、原因や侵入経路は未公開。監視を強化するなど、必要な対応を継続するとしている。 |
| 2025/2/7 続報 | 卸売業/レジャーサービス | ランサムウェア被害による個人情報漏えいの可能性 | 1月に公表した不正アクセスがランサムウェアであったことを続報で公表。詳細についてはまだ調査中とのこと。 |
| 2025/2/7 | 金融業(保険代理店) | ランサムウェア感染 | データ管理サーバが被害に遭った。原因などは現在調査中であるがネットワーク広域に被害が及んでいるため、時間を要するとのこと。 |
| 2025/2/11 報道 | 学校 | USBメモリ紛失による個人情報漏えい | 教頭が所属先の児童/保護者情報が入っている私物USBメモリをポケットに入れたままジャケットを売却。その後、匿名郵送でUSBメモリが送られてきて同インシデントが発覚した。 |
| 2025/2/12 続報 | 地方自治体 | 不正アクセスによる個人情報漏えい | 攻撃はSQLインジェクション攻撃と結論付け、対策としては「キュリティの高いクラウドセキュリティ製品を採用し脅威の検出・調査、高度なセキュリティに関する検知や分析、対処を行う監視体制の運用」とコメント。 |
| 2025/2/12 | 製造業 | VPN経由でのランサムウェア感染 | 本事案の対処としてパスワードの複雑化、二要素認証等を実施するとコメントしている。 |
| 2025/2/14 | 情報・通信業 | 委託先マルウェア感染による情報漏えい | 委託先端末のマルウェア感染を起因とした不正アクセスがあり、ソースコード管理サービスに含まれる一部の情報が不正に取得されたことが判明。個人情報は含まれていないとのこと。 |
| 2025/2/17 | 情報・通信業 | 委託先マルウェア感染による情報漏えい | 委託先端末のマルウェア感染を起因とした不正アクセスがあり、ソースコード管理サービスに含まれる一部の情報が不正に取得されたことが判明。個人情報は含まれていないとのこと。 |
| 2025/2/24 報道 | 金融業 | 不正アクセスによる仮想通貨流出 | ハッキングは北朝鮮のハッカー集団「ラザルス グループ(Lazarus Group)」によるものと見られており、被害総額は15億ドル相当とのこと。 |
