パロアルトの「GlobalProtect VPN」に深刻な脆弱性 - 12月に詳細が公開予定

Palo Alto Networksのファイアウォールに搭載されているOS「PAN-OS」に8件の脆弱性が明らかとなった。一部バージョンのVPN機能に明らかとなった脆弱性は深刻な影響を及ぼすおそれがある。発見したベンダーは12月に詳細な技術情報を公開するとしており、早急に対策を講じる必要がある。

同OSの「GlobalProtect Portal」「Gateway Interfaces」に明らかとなった「CVE-2021-3064」をはじめ、8件の脆弱性が明らかとなったもの。7件の脆弱性は共通脆弱性評価システム「CVSSv3」のベーススコアが「7.0」以上と評価されている。

なかでも「CVE-2021-3064」は「9.8」と高く、ウェブインタフェースの「XML API」におけるコマンドインジェクションの脆弱性「CVE-2021-3058」や、「GlobalProtect」においてSAML認証を用いたクライアントレスVPNに明らかとなった「CVE-2021-3056」についても、「8.8」とレーティングされている。

脆弱性によって影響を受けるバージョンは異なるが、同社では最新となる「PAN-OS 10.1.3」「同10.0.8-h4」「同9.1.11-h3」「同9.0.14-h4」「同8.1.21」を提供している。

また今回公表された「GlobalProtect Portal」「Gateway Interfaces」に明らかとなった「CVE-2021-3064」については、特に大きな影響を及ぼすおそれがあり、今後詳細な情報が公開される予定となっていることから、注意喚起が行われている。

（Security NEXT - 2021/11/12 ） ツイート

PR

関連記事

KDDIを偽装し、「料金未払い」などとだますSMSに注意 - 支払方法の指定が「iTunesギフトカード」
初期侵入「総当たり攻撃」と「脆弱性攻撃」で6割超 - カスペ調査
経済同友会、複数端末に不正アクセス - サーバのアラート契機に発覚
「DX」への期待、「特になし」が3割以上 - 課題は人材や予算不足
大手でCEO直属のCISOが増加 - 米国では4割超に
「ウイルスバスター for Mac」に脆弱性 - 修正を自動配信
取引先情報が登録されたスマホをタクシーで紛失 - i-Plug
Twitterが乗っ取り被害、DM履歴に顧客情報 - ホビー製作販売会社
なりすましメール発生、ネットバンキングも一時利用不能に - 都留信組
セルフケア向け製品サイトで個人情報を誤表示 - エーザイ