パロアルトの「GlobalProtect VPN」に深刻な脆弱性 - 12月に詳細が公開予定

Palo Alto Networksのファイアウォールに搭載されているOS「PAN-OS」に8件の脆弱性が明らかとなった。一部バージョンのVPN機能に明らかとなった脆弱性は深刻な影響を及ぼすおそれがある。発見したベンダーは12月に詳細な技術情報を公開するとしており、早急に対策を講じる必要がある。

同OSの「GlobalProtect Portal」「Gateway Interfaces」に明らかとなった「CVE-2021-3064」をはじめ、8件の脆弱性が明らかとなったもの。7件の脆弱性は共通脆弱性評価システム「CVSSv3」のベーススコアが「7.0」以上と評価されている。

なかでも「CVE-2021-3064」は「9.8」と高く、ウェブインタフェースの「XML API」におけるコマンドインジェクションの脆弱性「CVE-2021-3058」や、「GlobalProtect」においてSAML認証を用いたクライアントレスVPNに明らかとなった「CVE-2021-3056」についても、「8.8」とレーティングされている。

脆弱性によって影響を受けるバージョンは異なるが、同社では最新となる「PAN-OS 10.1.3」「同10.0.8-h4」「同9.1.11-h3」「同9.0.14-h4」「同8.1.21」を提供している。

また今回公表された「GlobalProtect Portal」「Gateway Interfaces」に明らかとなった「CVE-2021-3064」については、特に大きな影響を及ぼすおそれがあり、今後詳細な情報が公開される予定となっていることから、注意喚起が行われている。

（Security NEXT - 2021/11/12 ） ツイート

PR

関連記事

福祉サービスの一部契約書類が所在不明に - 高知県社会福祉協議会
スモールビジネス向けCisco製ルータに深刻な脆弱性 - 遠隔よりコードを実行されるおそれ
資格検定申込サイトへSQLi攻撃 - メアド流出の可能性
情報セキュマネ試験のネット実施に向けて実証試験 - IPA
「Cloudflare Zero Trust」にセキュリティ機能バイパスのおそれ
防衛省、人材発掘を目的としたCTFコンテストを実施
機密情報管理のHashiCorp製「Vault」に脆弱性 - データ消失のおそれ
個人情報含むファイルのダウンロードURLを誤って送信 - 東京都北区
教員アカウントが不正アクセス被害 - 埼玉大
前年に廃棄したつもりの労災事故書類、公園で見つかる - 宮城労働局