セキュリティ

SECURITY

公開：2025-01-20

【CVE-2024-3393】Palo Alto NetworksのPAN-OSにDNSセキュリティの脆弱性、ファイアウォールの再起動を引き起こす可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PAN-OSにDNSセキュリティ機能のDoS脆弱性を発見
• 攻撃により特定バージョンのファイアウォールが再起動
• 複数のバージョンでパッチ対応が完了

PAN-OSのDNSセキュリティ機能に深刻な脆弱性

Palo Alto Networks社は自社製品PAN-OSにおいて、DNSセキュリティ機能に重大な脆弱性【CVE-2024-3393】が発見されたことを2024年12月27日に公開した。未認証の攻撃者がファイアウォールのデータプレーンを通じて悪意のあるパケットを送信することで、ファイアウォールが再起動する可能性があるという深刻な問題が確認されている。^[1]

影響を受けるバージョンは、PAN-OS 11.2.0から11.2.3未満、11.1.0から11.1.2-h16未満、10.2.8から10.2.8-h19未満、10.1.14から10.1.14-h8未満となっている。脆弱性の深刻度はCVSS v4.0で最大8.7を記録しており、特権アクセスを必要とせずに攻撃が可能であることから、早急な対応が求められる状況だ。

この脆弱性に対して、各バージョンのパッチ適用により修正が完了している。一方でCloud NGFWは影響を受けないことも確認されており、Prisma Accessについても10.2.0から10.2.8未満のバージョンは影響を受けないことが報告されている。

PAN-OS脆弱性の影響範囲まとめ

脆弱性の詳細はこちら

サービス拒否攻撃について

サービス拒否攻撃とは、システムやネットワークに対して意図的に大量のトラフィックやリクエストを送信し、正常なサービス提供を妨害する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムやネットワークリソースを枯渇させる攻撃手法
• 正規ユーザーのサービス利用を妨害する悪意のある行為
• ネットワーク帯域やシステムリソースを過負荷にする攻撃

今回のPAN-OSの脆弱性では、DNSセキュリティ機能を標的としたDoS攻撃により、ファイアウォールが再起動を繰り返しメンテナンスモードに陥る可能性がある。攻撃者は特別に細工されたパケットを送信することで、認証なしでこの脆弱性を悪用できることから、早急なパッチ適用による対策が重要だ。

PAN-OSのDNSセキュリティ機能の脆弱性に関する考察

今回の脆弱性対応においてPalo Alto Networks社が素早くパッチを提供したことは、セキュリティ製品ベンダーとしての責任ある対応として評価できる。しかしながら、認証不要でファイアウォールの再起動を引き起こせる脆弱性が発見されたことは、DNSセキュリティ機能の設計段階での脆弱性検証の重要性を改めて示す結果となった。

今後は同様の脆弱性を防ぐため、製品開発段階でのセキュリティテストの強化が求められる。特にDNSプロトコルに関連する機能は攻撃者の標的となりやすく、パケット処理部分の入念な検証が必要となるだろう。また、ファイアウォール製品の冗長化やフェイルオーバー機能の実装により、単一障害点を排除する設計も重要になってくる。

セキュリティ製品自体の脆弱性は、防御の要となるシステムを危険にさらす可能性がある。今回の事例を教訓に、セキュリティ製品開発においては、より一層の品質管理とセキュリティ検証プロセスの強化が期待される。また、ユーザー企業側も定期的なパッチ適用と監視体制の整備を徹底する必要があるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-3393 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-3393, (参照 25-01-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧