CVE-2024-3400対応方針 - ASC運営に関する共通告知事項まとめ

ymukae — Thu, 09 May 2024 23:35:51 GMT

当脆弱性への対応方針について、ASCプログラム運営やTACマネジメントからケースオペレーションに関する要請事項など、全パートナー様向け共通のご案内事項をまとめました。ご理解・ご協力のほど、よろしくお願いいたします。

当課題に関する弊社グローバルの情報更新は、以下の各リンクを通じて随時リリースされます。

当ページの日本語アップデートも原則としてその解説・補足説明を行って参ります。

この日本語ページと共にいずれもBookmarkいただき、更新情報をもれなくご確認ください。

要請事項⑦:May 09, 2024, 15:00

背景として、従来Auto Assistantで表示していた侵害レベルL2/L3等の判定情報は現在提供されていないことを先ずはご確認ください。

侵害された可能性のあるデバイスに対して、 Enhanced Factory Reset (EFR) 手順を弊社カスタマーサポート(TAC)へケースオープン頂くことでリクエストできます。

EFRによる対策は、2024年4月25日までにGlobalProtect インターフェイスに脆弱性保護を適用した PAN-OS修正または Threat Preventionシグネチャ (セキュリティ侵害のレベルに関係なく) を適用していないデバイスに対して推奨されます。

詳細・アップデートは以下リンクからご確認ください。

・Security Advisoriesの”Solutions”の項目 https://securityadvisories.paloaltonetworks.com/CVE-2024-3400

・ASCパートナー用のPlaybookの更新：EFRプロセス概要や必要条件を含むhttps://www.paloaltonetworks.com/content/dam/pan/en_US/partners/nextwave/asc/CVE-2024-3400-tac-playbook.pdf

※EFR不要なケースは以下の通り示されています（Playbook P.3:日本時間5/10(金)09:00現在）。

要請事項⑥:Apr 25, 2024, 18:31

侵害レベル Level 2/Level 3の診断結果が出た場合、それぞれのレベルに応じた”Suggested Remediation"での対応をお願いします。Auto AssistantへのTSFのアップロードでLevel 2/Level 3の診断結果についてはサポートケースの作成・TSFのアップロードをお願いします。

今回のご案内に関連して当記事冒頭に追加された２つのHow toリンクをご活用ください。

要請事項⑤:Apr 24, 2024, 15:55

Auto Assistant診断ツールによる侵害レベル判定基準は精度向上のため随時更新されております。そのため、過去の診断と異なる結果が出る可能性があり、その場合は最新の診断結果レベルを正として、推奨されるRemediationを実施下さい。ケース上で、改めてお問い合わせいただく必要はございません。

再録：先行のメッセージ要請事項③でご案内した、TSFを日本語のファイル名でアップロードされると自動解析が走らず対応遅延の原因になる等、当課題に関連するケース起票時の留意事項３点を改めて周知・徹底お願い致します。

要請事項④:Apr 21, 2024, 2:50 PM

Auto Assistantへの侵害レベル判定機能追加の実装完了ご案内

ASCがTSFを自己評価/分類できる機能追加がAuto Assistantに実装され、この機能を活用すると弊社へのお問い合わせと回答を待つ時間が不要となります。ケースをOpenされる必要はございませんので、Auto AssisitantのLevel診断結果に応じた対応をお客様にご提示いただく様、引き続きご協力お願いいたします。

- No Exploit (/Level 0): ※この場合はAuto AssistantでLevel表示はされません。

Suggested Remediation: Update to the latest PAN-OS hotfix

- Level 1 Compromise: Vulnerability being tested on the device, A 0-byte file has been created and is resident on the firewall

Suggested Remediation: Update to the latest PAN-OS hotfix

- Level 2 Compromise: A file has been exported from the firewall, Typically “running_config.xml”

Suggested Remediation: Update to the latest PAN-OS hotfix and perform a Private Data Reset

- Level 3 Compromise: Interactive command execution: May include shell-based back doors, introduction of code, pulling files, running commands

Suggested Remediation:

- Isolate the appliance from the Internet and local network.

- Only maintain local network access necessary to manage the firewall.

- Backup Device State

- Perform Factory Reset

- Restore the Device State

- Reset all local passwords to new and secure passwords

- Perform a PAN-OS update using the hot-fix listed in the security advisory

- Regenerate all the keys for the system including Certificates and Master Key.

要請事項③:Apr 19, 2024, 4:00 PM

Auto AssistantのTSFスキャン結果がPositiveのお客様対応方針

現状、本件に関するお問い合わせが急増しており、回答返信にはかなり長時間かかる可能性がございます。このため、Auto Assistantのスキャン結果がPositiveの場合は、初動対応の早期展開のため、まずはSecurity Advisoryに記載の通りHotFix適応方針のお客様への展開を、弊社へのCase Openに先んじて実施いただきたく存じます。

また対応速度向上の為、ASCがTSFを自己評価・分類できる機能追加を準備しています。日本時間の来週明けのリリースを目指しており、その後は弊社へのお問い合わせと回答を待つ時間が不要となり、ASC各社自前でお客様対応を完結することができる予定です。

機能追加がリリースされるまでは、A2の結果がPositiveのお客様については引き続きCaseにてお問い合わせ下さい。なおCase Openの際には、弊社内の処理を遅滞なく迅速に行うため以下の要項を守って頂くようご協力お願いします。

Case PriorityはMediumでCase Openしてください。Case Priorityに関わらず、当脆弱性に起因するCaseについては順次最優先で対応しております。
1ケースで複数のTSFをアップロードする場合、対象製品のシリアル番号毎か、Active-Passiveの場合はHAシステム毎に分けてケースをOpenして下さい。
TSFが日本語で作成されてしまった場合弊社ツールで正しく解析が出来ないため、ファイル名は英語のものをUploadしてください。

要請事項②:Apr 18, 2024, 5:43 PM

当脆弱性に関するお問い合わせのなかで、攻撃の兆候が認められたお客様に対して、追加のご質問で攻撃の詳細分析や今後の対応実施などDFIR（Digital Forensic Incident Response）のご要望もありましたが、グローバル方針により現時点でDFIRサービスは弊社Technical Supportでは提供しておりません。

つきましては、DFIRサービスをご希望のお客様は、お手数ですがお客様ご自身にてDFIRベンダーへ直接ご相談いただきますようお願い申し上げます。

要請事項①: Apr 18, 2024, 12:05 PM

脆弱性関連のケースをオープンする際はCSPでの製品選択時にThreat Preventionを選択していただけますようお願いいたします。他の製品を選択されますと、担当者からのご案内が遅れる可能性がございます。

ASCプログラム通知①: Apr 17, 2024, 12:36 PM

当課題に起因するTACケースはAcheivement Ratio (AR) の測定対象外とします。

https://paloaltonetworkspartners.us.newsweaver.com/miscellaneous/ggh5l7ey2qryo5np0znqsm?email=true&lang=en&a=11&p=14594595

以　　上

Re: CVE-2024-3400対応方針 - ASC運営に関する共通告知事項まとめ

MakotoT — Mon, 22 Apr 2024 01:47:44 GMT

>ASCがTSFを自己評価/分類できる機能追加がAuto Assistantに実装され、この機能を活用すると弊社へのお問い合わせと回答を待つ時間が不要となります。

についてですが、以下のURLのツールでしょうか？
https://autoassistant.paloaltonetworks.com/

「侵害レベル判定」

これはどこに出てくるのでしょうか？

見た感じなさそうなのですが・・

ASCプログラムドキュメントの記事CVE-2024-3400対応方針 - ASC運営に関する共通告知事項まとめ

CVE-2024-3400対応方針 - ASC運営に関する共通告知事項まとめ

Re: CVE-2024-3400対応方針 - ASC運営に関する共通告知事項まとめ