「防御策」が「侵入口」に？　Palo Altoファイアウォール用OSで脆弱性が発覚：すでに悪用を観測済み

本来は企業を守るはずのPalo Alto Networks製ファイアウォールが、攻撃の入り口になりかねない脆弱性が発見された。認証を回避できるこの脆弱性は、すでに攻撃が観測されている。やるべき対処とベンダーの見解は。

≫ 2025年03月20日 08時15分公開

脆弱性の影響範囲は？

併せて読みたいお薦め記事

さまざまな脆弱性情報

　この脆弱性「CVE-2025-0108」は認証を回避できる脆弱性で、セキュリティベンダーAssetnoteのセキュリティ研究者アダム・キューズ氏が発見し、2025年2月12日に公表したものだ。

　Palo Alto Networksによると、CVE-2025-0108はPAN-OSの管理画面に接続できる未承認の攻撃者が、管理画面の認証を回避して、特定のスクリプト（簡易プログラム）を実行できる脆弱性だ。スクリプトを実行するだけでPAN-OSを完全に制御できるようにはならないものの、同社は「PAN-OSの動作や機密性に悪影響を及ぼしかねない」と警告している。

　影響を受けるのは「PAN-OS 10.1」「PAN-OS 10.2」「PAN-OS 11.1」「PAN-OS 11.2」の特定のバージョンだ。クラウドベースのセキュリティサービス「Prisma Access」と、クラウドサービス向けファイアウォール「Cloud Next Generation Firewall」（Cloud NGFW）は影響を受けない。Palo Alto NetworksはPAN-OSのパッチ（修正プログラム）を提供するとともに、サポート対象のバージョンへのアップグレードを推奨している。「PAN-OS 11.0」を含む、サポート終了（EOL）を迎えたバージョンについては、パッチを提供しないと同社は説明する。

　別の回避策や緩和策として、Palo Alto Networksは「推奨のベストプラクティスに従って、管理画面への接続を信頼できる内部IPアドレスのみに制限する」ことでリスクを軽減できると解説する。リスクが特に高いのは、管理画面をインターネットに公開しているユーザー企業と、信頼できないネットワークからの接続を許可しているユーザー企業だ。

ベンダーの発表

　Palo Alto Networksは2025年2月18日午前中にセキュリティアドバイザリーを更新し、「概念実証（PoC）を利用した攻撃の試みを確認した」と述べる。同社の説明は以下の通りだ。

　CVE-2025-0108に対するエクスプロイト（脆弱性悪用プログラム）が公開されています。当社は、このエクスプロイトを、以前見つかった別の脆弱性「CVE-2024-9474」のエクスプロイトと組み合わせ、パッチ未適用の保護されていないPAN-OSの管理画面を狙う攻撃を確認しました。

　Palo Alto Networksの説明は、キューズ氏が公表した調査結果を参照していることがうかがえ、CVE-2025-0108の仕組みを技術的に解説している。CVE-2024-9474は、2024年秋に公表されたPAN-OSの別のゼロデイ脆弱性（パッチ未配布の脆弱性）だ。

　セキュリティ監視サービスを手掛けるGreyNoiseのスキャンでは、本稿執筆時点で、26件のユニークなIPアドレスにおいてCVE-2025-0108を悪用する試みが確認された。同社は「PoCが公開されてから数時間以内に悪用の試みを確認した」と述べる。

　非営利のセキュリティ団体Shadowserver Foundation によるスキャンでは、2025年2月18日時点で約3300件のPAN-OSの管理画面がインターネットに公開されていることが判明した。

　米Informa TechTargetはCVE-2025-0108に関する過去の攻撃についてPalo Alto Networksにコメントを求めたが、追加情報は得られなかった。ただし、広報担当者から以下の声明を入手した。

　お客さまのセキュリティは当社の最優先事項です。当社は、PAN-OSの管理画面に存在する脆弱性（CVE-2025-0108）の悪用に関する報告を確認しました。この脆弱性は、CVE-2024-9474のような他の脆弱性と連鎖され、パッチ未適用で保護されていないファイアウォールへの未承認アクセスを可能にする恐れがあります。

　PAN-OSの管理インタフェースをインターネットに接続している全てのお客さまに対して、2025年2月12日公開のセキュリティアップデートをすぐに適用するよう促しているところです。インターネットに公開している管理画面の保護は、PAN-OSの基本的なセキュリティ強化のベストプラクティスであり、全ての企業に対して設定の見直しによるリスク軽減を強く推奨します。

　詳細な情報と緩和策に関するガイダンスは、CVE-2025-0108のセキュリティアドバイザリーをご覧ください。

　Assetnoteは、CVE-2025-0108の悪用の試みが始まった時期については把握できておらず、自社の調査に関して以下の声明を発表した。

　われわれはこの脆弱性の発見後、Palo Alto Networksに報告し、協力した上で公表日を調整しました。こうしたゼロデイ脆弱性の調査の目的は、われわれのセキュリティツールを通じてお客さまにセキュリティ情報を提供することです。ランサムウェア（身代金要求型マルウェア）攻撃グループなどの高度な攻撃者は、今回見つかった脆弱性と同様の攻撃経路を探しているため、脆弱性を早期に見つけることは攻撃に先手を打つための最良の方法だと考えています。われわれは発見をベンダーに開示して協力することによって、製品の問題を修正できるようにしています。当社のお客さまも、調査結果を通して脆弱性の情報を迅速に受け取り、脆弱性の内容と軽減方法を把握可能です。当社は、日和見的な攻撃者がさまざまなベンダーのパッチを解析してエクスプロイトを作成するのを目にしています。より多くのセキュリティベンダーが問題を理解し、検出できるようにするために、当社は調査結果を公開しています。

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ