Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

パロアルトの「GlobalProtect VPN」に深刻な脆弱性 - 12月に詳細が公開予定

脆弱性「CVE-2021-3064」は、「同8.1.16」および以前のバージョンにおいて「GlobalProtectポータル」や「ゲートウェイ」を有効化している場合に影響がある。

「バッファオーバーフロー」の脆弱性で、「HTTPリクエストスマグリング」との組み合わせにより生じるという。脆弱性を悪用されると、リモートよりroot権限で任意のコードを実行されるおそれがある。Palo Alto Networksでは「PAN-OS 8.1.17」にて脆弱性を修正している。

Palo Alto Networksに対して脆弱性を報告し、11月10日に脆弱性のアドバイザリを公開したRandoriは、VPNポータルはインターネット経由でアクセスできることが多く、インターネット上に1万以上の脆弱な機器を確認したと指摘。

公開時点で悪用コードは確認されておらず、パッチの適用期間を考慮し、技術的な詳細については、30日間の猶予期間を経た12月10日に公開するとしている。同製品の利用者にパッチを適用することや、アップデートを適用するまでは、脆弱性の悪用を防止する定義ファイルの適用など、緩和策を実施するよう呼びかけた。また「GlobalProtect」を利用しない場合は、同機能を無効化するよう求めている。

脆弱性の公表を受け、詳細や実証コード(PoC)が公開されると、脆弱性を悪用する攻撃が広く行われる可能性があるとし、JPCERTコーディネーションセンターも対策を呼びかけている。

(Security NEXT - 2021/11/12 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

HashiCorpのGo言語向けライブラリ「go-getter」に脆弱性
「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
Cisco、セキュリティアドバイザリ3件を公開 - 一部でPoCが公開済み
「Chrome 124」が公開 - セキュリティ関連で23件の修正
水道メーター取替業務の一部伝票が所在不明に - 門真市
メアド記載のメールを複数団体に送信、メール再利用で - 佐賀県
「Firefox 125.0.1」をリリース、脆弱性15件を修正
再委託先における2023年2月のランサム被害を公表 - 国交省
「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
募金サイトで他人クレカ番号による少額寄付 - 利用できるか確認か

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.