Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report) | ScanNetSecurity
2024.07.20(土)

Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report)

 2024 年 3 月に公開された、Windows 版 GlobalProtect App の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、システムの全権限を掌握されてしまう可能背があります。

脆弱性と脅威
https://security.paloaltonetworks.com/CVE-2024-2432
◆概要
 2024 年 3 月に公開された、Windows 版 GlobalProtect App の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、システムの全権限を掌握されてしまう可能背があります。ソフトウェアのアップデートにより対策しましょう。

◆分析者コメント
 GlobalProtect App の普及度合いを考慮すると、脆弱性の影響範囲は広いと考えられますが、脆弱性が発現する条件が VPN に接続した際とやや厳しく、権限昇格の手法として必要となる競合状態の成功率があまり高くありません。権限昇格により SYSTEM 権限でのコード実行が可能となる脆弱性ですが、攻撃者にとってはあまり使い勝手が良くない脆弱性であると考えられます。

◆深刻度(CVSS)
[CVSS v3.1]
4.5

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-2432&vector=AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L&version=3.1&source=Palo%20Alto%20Networks,%20Inc.

◆影響を受けるソフトウェア
 以下のバージョンの GlobalProtect App が当該脆弱性の影響を受けると報告されています。

* 6.2系 - 6.2.1未満
* 6.1系 - 6.1.2未満
* 6.0系 - 6.0.8未満
* 5.1系 - 5.1.12未満

◆解説
 VPN ソフトウェアとして世界的に用いられている Palo Alto Networks 社のソフトウェア GlobalProtect App に、Windows OS 上での権限昇格につながる脆弱性が報告されています。

 脆弱性は VPN の接続処理中に存在します。脆弱なバージョンの Windows 版の GlobalProtect App では、VPN 接続中にファイルの削除処理が発生しますが、削除対象ファイルの検証が十分でないため、悪意のある Symbolic Link を介して任意のファイルを削除されてしまいます。

◆対策
 GlobalProtect App を以下のバージョンにアップデートしてください。

* 6.2系 - 6.2.1またはそれよりも新しいバージョン
* 6.1系 - 6.1.2またはそれよりも新しいバージョン
* 6.0系 - 6.0.8またはそれよりも新しいバージョン
* 5.1系 - 5.1.12またはそれよりも新しいバージョン

◆関連情報
[1] Palo Alto Networks 公式
  https://security.paloaltonetworks.com/CVE-2024-2432
[2] National Vulnerability Database (NVD)
  https://nvd.nist.gov/vuln/detail/CVE-2024-2432
[3] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-2432

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して対象ホストに存在する任意のファイル削除を試みるエクスプロイトコードと、特権昇格を試みるエクスプロイトコードが公開されています。

  GitHub - Hagrid29/CVE-2024-2432-PaloAlto-GlobalProtect-EoP
  https://github.com/Hagrid29/CVE-2024-2432-PaloAlto-GlobalProtect-EoP/tree/main/GP-PoC

//-- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  2. クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

    クリックしていないのにアダルトサイトに登録させる「ゼロクリック詐欺」(シマンテック)

  3. サイボウズ Garoon に XSS の脆弱性

    サイボウズ Garoon に XSS の脆弱性

  4. 「非常に激しい雨」「猛烈な雨」とは、雨の強さと降り方の基準について解説

  5. SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ~ Proofpointが発見

  6. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

  7. 「読売新聞オンライン」の偽サイトに注意を呼びかけ、SNSや複数サイトで広告を確認

  8. IPAと経産省、「Qubit Chain(旧SIMIAチェーン)」プロジェクトと無関係と強調

  9. Microsoft Windows の Win32k.sys ドライバに起因する Null ポインタデリファレンスの脆弱性(Scan Tech Report)

  10. iOS向け「Safari」にクロスサイトスクリプティングの脆弱性(JVN)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×