セキュリティ

SECURITY

公開：2025-02-21

【CVE-2025-0108】Palo Alto NetworksのPAN-OSに認証バイパスの脆弱性、管理インターフェースのセキュリティ強化が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PAN-OSにおける認証バイパスの脆弱性を確認
• 認証なしでPHPスクリプトの実行が可能に
• 影響を受けるバージョンのアップデートが必要

PAN-OSの管理Web インターフェースに認証バイパスの脆弱性

Palo Alto NetworksはPAN-OSソフトウェアの管理Webインターフェースに認証バイパスの脆弱性【CVE-2025-0108】を2025年2月12日に公開した。この脆弱性により、ネットワークアクセス権を持つ未認証の攻撃者が管理Webインターフェースの認証を迂回し、特定のPHPスクリプトを実行できる状態になっている。^[1]

この脆弱性はPAN-OSバージョン10.1.0から10.1.14-h9未満、10.2.0から10.2.7-h24未満、11.1.0から11.1.6-h1未満、11.2.0から11.2.4-h4未満に影響を与えることが判明している。Cloud NGFWやPrisma Accessソフトウェアには影響がないことが確認されているため、該当製品のユーザーは安全性が保たれている。

CISAはこの脆弱性に対してCVSS 4.0スコア8.8（High）を付与しており、攻撃者による悪用が既に確認されている状態だ。Palo Alto Networksは管理Webインターフェースへのアクセスを信頼できる内部IPアドレスのみに制限することで、リスクを大幅に軽減できると説明している。

PAN-OSの脆弱性影響範囲まとめ

脆弱性の詳細はこちら

認証バイパスについて

認証バイパスとは、システムやアプリケーションの認証メカニズムを回避して不正アクセスを行う攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 正規の認証プロセスを迂回してアクセス権限を取得
• 設計上の欠陥や実装ミスを悪用した攻撃
• システムの整合性と機密性に重大な影響を及ぼす可能性

この脆弱性は【CVE-2025-0108】として識別されており、CWEによる脆弱性タイプは重要な機能に対する認証の欠落（CWE-306）に分類されている。CVSSスコアが8.8（High）と評価されており、攻撃者による悪用が既に確認されているため、早急な対応が推奨される。

PAN-OS認証バイパス脆弱性に関する考察

この脆弱性の最も重要な特徴は、未認証の攻撃者がPHPスクリプトを実行できる点にあるが、リモートコード実行には至らないことが確認されている。管理インターフェースへのアクセス制限という基本的なセキュリティ対策を実装することで、攻撃のリスクを大幅に軽減できることは、運用管理者にとって重要な指針となるだろう。

今後の課題として、PHPスクリプト実行の制限強化やアクセス制御の多層化など、より堅牢なセキュリティ機能の実装が期待される。特に管理インターフェースのセキュリティ設計については、ゼロトラストの考え方を取り入れた新しいアプローチが必要になってくるだろう。

Palo Alto Networksの対応は迅速であり、影響を受けるバージョンの特定から修正パッチの提供まで体系的に行われている。今後は脆弱性の早期発見と対策の自動化を進め、セキュリティインシデントへの対応力を更に強化することが望まれる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0108, (参照 25-02-21).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧