パロアルトの「GlobalProtect VPN」に深刻な脆弱性 - 12月に詳細が公開予定

Palo Alto Networksのファイアウォールに搭載されているOS「PAN-OS」に8件の脆弱性が明らかとなった。一部バージョンのVPN機能に明らかとなった脆弱性は深刻な影響を及ぼすおそれがある。発見したベンダーは12月に詳細な技術情報を公開するとしており、早急に対策を講じる必要がある。

同OSの「GlobalProtect Portal」「Gateway Interfaces」に明らかとなった「CVE-2021-3064」をはじめ、8件の脆弱性が明らかとなったもの。7件の脆弱性は共通脆弱性評価システム「CVSSv3」のベーススコアが「7.0」以上と評価されている。

なかでも「CVE-2021-3064」は「9.8」と高く、ウェブインタフェースの「XML API」におけるコマンドインジェクションの脆弱性「CVE-2021-3058」や、「GlobalProtect」においてSAML認証を用いたクライアントレスVPNに明らかとなった「CVE-2021-3056」についても、「8.8」とレーティングされている。

脆弱性によって影響を受けるバージョンは異なるが、同社では最新となる「PAN-OS 10.1.3」「同10.0.8-h4」「同9.1.11-h3」「同9.0.14-h4」「同8.1.21」を提供している。

また今回公表された「GlobalProtect Portal」「Gateway Interfaces」に明らかとなった「CVE-2021-3064」については、特に大きな影響を及ぼすおそれがあり、今後詳細な情報が公開される予定となっていることから、注意喚起が行われている。

（Security NEXT - 2021/11/12 ） ツイート

PR

関連記事

イベント案内メールで誤送信、参加者のメアド流出 - 氷見市
サンプルコードなどの既知シークレット流用、サイト侵害の原因に
米当局、「WSUS」脆弱性で対象サーバの特定や侵害監視を呼びかけ
従業員アカウントが不正利用、フィッシング踏み台に - 常石G
通信機器経由でサイバー攻撃、侵害サーバに顧客情報 - 日本プラスト
海外グループ会社でインシデント、影響を調査 - 電通グループ
2月に「セキュキャン2026フォーラム」開催 - 活動成果を募集
「CSIRTスタータキット」の改訂版を公開 - 日本シーサート協議会
柏崎刈羽原発説明会の情報公開文書でマスキング漏れ - 新潟県
「Kea DHCP」にサービス拒否の脆弱性 - アップデートが公開