Palo Alto Networksの「GlobalProtect」SSL-VPNソフトウェアに存在する脆弱性が発見された。同ソフトウェアは、ライドシェアサービスを提供するUberなどの世界の大企業で使用されている。
GlobalProtectは、遠隔地で働く作業員に対してセキュアなチャネルや仮想プライベートネットワーク(VPN)トンネルを提供するためのソリューションだ。この脆弱性は、最近のバージョンには存在しないものの、旧バージョンに依然として潜んでいるという。
Palo Altoのセキュリティアドバイザリーによると、「CVE-2019-1579」という脆弱性識別番号が割り当てられたこの脆弱性は、遠隔地からのコード実行につながるものであり、GlobalProtectポータル製品と、「GlobalProtect Gateway」インターフェース製品に存在しているという。
この脆弱性が悪用された場合、権限を有していない攻撃者による遠隔地からの任意のコード実行が可能になる恐れがある。
Tenableのリサーチャーらは、この脆弱性がクライアント/サーバー間のSSLハンドシェイクを取り扱う「PAN SSL Gateway」に存在する、書式文字列の処理に起因するものだと表現している。問題の根源は、同ゲートウェイが特定の値パラメーターを取り扱う際に、適切なサニタイジングを実施していないところにある。このため攻撃者は、脆弱性を抱えたSSL VPNに対して、あらかじめ作り込んでおいた特殊なリクエストを送信することで悪用できるようになる。
このソフトウェアの旧バージョンに潜んでいる脆弱性は、台湾のセキュリティ企業DEVCOREのリサーチャーであるOrange Tsai氏とMeh Chang氏によって最初に発見され、現地時間7月17日にブログで発表された。
両氏によると、この脆弱性は同社のレッドチームによる診断サービスで偶然発見されたものであり、共通脆弱性識別子(CVE)が割り当てられていないことが詳細な調査の後に判明したのだという。この「ひそかに修正された」脆弱性を突く遠隔地からのコード実行は、GlobalProtect製品の最新版では再現できなかったものの、旧バージョンでは有効だったという。
両氏がこの発見をPalo Altoに通知した際、同社から「われわれは社内で発見し、修正した問題に対してCVEを発行していない。この問題は以前に修正されているが、現行のバージョンで問題を発見した場合には連絡してほしい」と告げられたという。
両氏はその後、より詳細な調査を実施し、Uberが所有するサーバーが脆弱性の潜む旧バージョンのGlobalProtect製品を使用していることを発見したという。両氏の調査によると、UberはGlobalProtectを動かしているサーバーを世界で22台所有している。
Uberは同社のシステムに脆弱性があると知らされ、即座に問題に対処したという。
しかしUberによると、従業員の大半はPalo AltoのSSL VPNを使っておらず、またそのソフトウェアは中核インフラ内に組み込まれているわけではなく、「Amazon Web Services」(AWS)上でホストされているため、影響の可能性は「低い」という。
それでも、Palo Altoは今回の発見を機にアドバイザリーを発行し、CVEが割り当てられた。PoC(概念実証)も一部公開されている。
「PAN-OS 7.1.18」「PAN-OS 8.0.11」「PAN-OS 8.1.2」とそれ以前のバージョンが影響を受けたが、「PAN-OS 9.0」は影響を受けなかった。
できるだけ早く修正済みバージョンの「PAN-OS 7.1.19」「PAN-OS 8.0.12」「PAN-OS 8.1.3」やこれ以降のバージョンにアップデートすることがユーザーに推奨されている。旧ソフトウェアはAWS上でホストされていたため、Uberのソフトウェアが危険にさらされた可能性は低そうだが、だからと言って他の企業が攻撃を受ける可能性がないわけではない。
Uberはコメントを控えた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
