記事本文(要約)
Palo Alto Networksは、製品に存在する7つの脆弱性に関するセキュリティアドバイザリーを発表しました。最も深刻な脆弱性はCVE-2025-4232で、macOSのGlobalProtectにおけるコードインジェクションの脆弱性です。この欠陥は認証された攻撃者が権限をルートに昇格するために悪用される可能性があります。他にもCVE-2025-4233などのChrome関連の修正を含む脆弱性の修正が実施されています。
また、PAN-OSにはCVE-2025-4231という中程度の脆弱性があり、認証された管理者がルート権限でコマンドを実行できる問題が修正されました。CVE-2025-4230という別のPAN-OSの脆弱性も修正されており、こちらもコマンドインジェクションにより管理者権限で任意のコマンドを実行できる可能性があります。
さらに、Cortex XDR Broker VMの権限昇格やGlobalProtectの不適切なアクセス制御の問題なども解決されています。現在のところ、これらの脆弱性が攻撃で利用されたという報告はありません。追加情報は同社のセキュリティアドバイザリーページで確認できます。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 12 Jun 2025 08:19:48 +0000
Original URL: https://www.securityweek.com/palo-alto-networks-patches-privilege-escalation-vulnerabilities/
詳細な技術情報
以下は、Palo Alto Networks により公表された複数の脆弱性についての詳細な分析です。
- CVE-2025-4232:
- 脆弱性の仕組み: GlobalProtect for macOS におけるワイルドカードの不適切な中立化。これはコードインジェクションに繋がります。
- 攻撃手法: 認証済みの攻撃者がログ収集機能を悪用することで、権限を root まで昇格させることが可能。
- 潜在的な影響: 攻撃者は管理者権限を獲得し、システム全体の制御を握る可能性があります。
- 推奨される対策: 影響を受けるシステムに速やかにパッチを適用することが推奨されます。
- CVE-2025-4233:
- 脆弱性の仕組み: Prisma Access Browser におけるキャッシュに関する不適切な実装。
- 推奨される対策: Palo Alto Networks の提供する最新のパッチを適用すること。
- CVE-2025-4231:
- 脆弱性の仕組み: PAN-OS における中程度の重要度のコマンドインジェクション。
- 攻撃手法: 攻撃者は管理者として認証されており、ネットワーク管理のウェブインターフェースにアクセス可能である必要があります。
- 推奨される対策: 管理インターフェースへのアクセスを制限し、最新のセキュリティ修正を適用します。
- CVE-2025-4230:
- 脆弱性の仕組み: PAN-OS における管理者アカウントでの任意コード実行を可能にするコマンドインジェクション。
- 攻撃手法: CLI へのアクセス権を持つ管理者アカウントからシステム制約を回避して任意のコマンドを実行可能。
- 推奨される対策: CLI へのアクセスを特定の管理者に限定するとともに、パッチを適用する。
- SD-WAN インターフェースへの影響:
- 脆弱性の仕組み: ファイアウォールから送信されたパケットを傍受する能力。
- 推奨される対策: パッチの適用とともに、暗号化通信の設定を再確認すること。
- Cortex XDR Broker VM における権限昇格問題:
- 脆弱性の仕組み: 不適切な権限割り当てが原因で攻撃者が root 権限を取得可能となる。
- 推奨される対策: 速やかなパッチ適用と権限管理の見直し。
- GlobalProtect のアクセス制御問題:
- 脆弱性の仕組み: Windows および macOS 向け GlobalProtect のエンドポイントトラフィックポリシー実施機能における不適切なアクセス制御。
- 潜在的な影響: 攻撃者が不正なデバイスをネットワークに接続し、パケットを傍受または改ざんされる可能性。
- 推奨される対策: パッチを適用し、ネットワークアクセスの物理的制限を強化すること。
