Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は4月15日、Palo Alto Networks社製PAN-OS GlobalProtectにおけるOSコマンドインジェクションの脆弱性について発表した。影響を受けるシステムは以下の通り。

PAN-OS 11.1.2-h3 より前のバージョン
PAN-OS 11.0.4-h1 より前のバージョン
PAN-OS 10.2.9-h1 より前のバージョン
※Cloud NGFW、Panorama appliances、Prisma Access は影響なし

　リモートアクセス（VPN）などを提供するPAN-OSのGlobalProtect機能におけるOSコマンドインジェクションの脆弱性（CVE-2024-3400）について、Palo Alto Networksは現地時間4月12日にアドバイザリを公開している。本脆弱性が悪用されると、認証されていない遠隔の第三者がルート権限で任意のコードを実行する可能性がある。

　Palo Alto Networksでは、本脆弱性を悪用する攻撃を限定的に確認している。

　IPAでは、製品開発者が提供する情報をもとにホットフィックスを適用するよう呼びかけている。Palo Alto Networksは、本脆弱性を修正した下記のホットフィックスをリリースしている。

PAN-OS 11.1.2-h3
PAN-OS 11.0.4-h1
PAN-OS 10.2.9-h1