セキュリティ勧告PAN-SA-2017-0027に関する推奨される緊急対処について

※この特別勧告はパロアルトネットワークス・PSIRT(Product Security Incident Response Team ：製品のセキュリティや脆弱性対応を行う専門チーム)より報告された「Urgent action recommended regarding recent security advisory PAN-SA-2017-0027」を、日本のユーザー様向けに和訳したものとなります。当勧告と合わせてPSIRTの原文もご確認いただきますようお願い申し上げます。
https://live.paloaltonetworks.com/t5/Community-Blog/Urgent-action-recommended-regarding-recent-secur...

パロアルトネットワークスのお客様へ

2017年12月5日、パロアルト ネットワークス・PSIRTはセキュリティ勧告PAN-SA-2017-0027を公開すると共に、PAN-OS 6.1.18とそれ以前にリリースされたバージョン、PAN-OS 7.0.18とそれ以前にリリースされたバージョン、およびPAN-OS 7.1.13とそれ以前にリリースされたバージョンが緊急性の高い脆弱性(CVE-2017-15944)の影響を受けることの情報公開を行い、推奨されるベストプラクティスを提案すると共に、修正版メンテナンスバージョンをリリースしています。

この勧告の公表以降、Web管理インターフェイスをインターネットに公開しており、かつ、修正版メンテナンスバージョンをご適用頂いていない極一部の環境において、この脆弱性(CVE-2017-15944)を突いた悪意のある行動が確認されておりますことをここに報告申し上げますと共に、弊社製品(PAシリーズ、Panorama)をご利用のお客様におかれましては、この特別勧告に沿ったご対応を改めてご確認の上、実施頂くことを推奨致します。

緊急対処が推奨される場合：

• 修正パッチを含むPAN-OS へのアップグレードが完了していない環境
• PAN-OSにおいて、Web管理インターフェイスがパブリックIPをSourceとするアクセスを許可している(インターネット側から直接接続できる状態)環境

修正版メンテナンスリリースが未適用、かつWeb管理インターフェイスがインターネットから直接接続可能な状態の場合、リスクは極めて高くなりますので早急に対処する必要があります。

恒久的対応策、および運用回避策

• 修正版メンテナンスリリースのPAN-OS にアップグレード
• 管理インターフェイスへアクセス可能なアドレスを限定するためのベストプラクティスの適用

2017年12月5日に発行した初期の勧告にて、この脆弱性の対応は、PAN-OS 6.1.19とそれ以降にリリースされたバージョン、PAN-OS 7.0.19とそれ以降にリリースされたバージョン、およびPAN-OS 7.1.14とそれ以降にリリースされたバージョンにて完了している旨をご案内しております。従いまして、可能な限り速やかに修正版メンテナンスリリースを適用することを強く推奨致しております。
修正版メンテナンスリリースの適用が困難であり、Web管理インターフェイスがインターネットから直接接続可能な状態の場合は管理インターフェイスを防御するためのベストプラクティスを実施して頂くよう推奨致します。

注意: もしWeb管理インターフェイスを意図してインターネットに公開してない場合、例えばグローバルプロテクトのポータルもしくはゲートウェイのインターネット向けインターフェイスに誤って、HTTPもしくはHTTPSのマネージメントプロファイルを適応していただいているケースがございます。これについての詳細は、Best Practices for Securing Administrative Access（英語版の管理者ガイド、2018/1/17時点で日本語管理者ガイドには翻訳されていません）をご参照いただくか、ご質問があればパロアルト ネットワークス・サポートチーム(https://support.paloaltonetworks.com)にケースオープン頂くようお願いします。

弊社が提案するベストプラクティスとしては、すべてのお客様において、Web管理インターフェイスをインターネットに公開(インターネット側から直接接続できる状態）する運用を回避するよう強く推奨しております。
特に修正版メンテナンスリリースを適用していない環境においては、脆弱性に伴うリスクが加算されます。弊社が提案するベストプラクティスは以下の要点についての対応を推奨致しております。

• • Web管理インターフェイスへの接続を制限するため、管理ネットワーク専用のVLAN、管理インターフェイスへの特定IPアドレス、もしくはその両方からのみ接続を許可する。
  • インターネットを介したWeb管理インターフェイス接続が必要な場合は、セキュアなVPN接続を構成する。
  • インターネットに直接接続可能な管理インターフェイスを設置する場合、管理インターフェイス向けトラフックに対して、SSL復号化と、脅威防御を適用頂く。［セキュリティ勧告PAN-SA-2017-0027を公開した際に、CVE-2017-15944脆弱性攻撃を防御する IPSシグネチャ（40483と40484番）をリリースしています。これらのシグネチャ設定を”Block”に設定して、攻撃を防御するよう設定して下さい。]

詳細については以下のKBもご参照ください。

1. PAN-OSアップグレードのベスト プラクティス

2. パロアルト ネットワークス装置の管理アクセスを保護する方法

3. 適切な脅威防御適用による脆弱性緩和

本件についてご不明点な点やご質問がある場合は、パロアルト ネットワークス・サポートチーム(https://support.paloaltonetworks.com)にケースオープン頂き、ケースの件名に “CVE-2017-15944”を追記して頂けますようお願いします。

敬具

パロアルトネットワークス・PSIRT

 ---------------------------------------------------------------------------------------------------------------------------------------------

よくある質問

質問1 : 何の問題ですか？

2017年12月上旬に修正パッチを既に提供させていただいているこの脆弱性(CVE-2017-15944 / PAN-SA-2017-0027) は攻撃者が修正パッチをあててないファイアウォール、かつ保護策を設定していない管理インターフェイスに対してコードをリモート実行することができます。

この脆弱性はWeb管理インターフェイスをインターネットに公開しているお客様が対象です。修正パッチをあててない、かつWeb管理インターフェイスを公開しているお客様はシステム侵害を受ける可能性があります。さらにいくつかの事例で、グローバルプロテクトの誤った設定によって、意図せずWeb管理インターフェイスを公開しているケースが報告されています。以下のKB記事は推奨設定のガイダンスを提供します。

• How to Configure GlobalProtect
• How to Secure the Management Access of your Palo Alto Networks Device

質問2 : この脆弱性のリファレンスは何ですか？

PAN-SA-2017-0027 はパロアルトネットワークス・PSIRT(Product Security Incident Response Team ：製品のセキュリティや脆弱性対応を行う専門チーム)より報告されたセキュリティ勧告です。(https://securityadvisories.paloaltonetworks.com/に掲示されています) 

CVE-2017-15944 は実際の脆弱性に対するCVE (Common Vulnerabilities and Exposures)です。このシステムは独自に脆弱性を調査するセキュリティ・コミュニティです。

このセキュリティ勧告 PAN-SA-2017-0027 は脆弱性CVE-2017-15944情報を提供するとともに、提供させていただいている修正パッチにて脆弱性を修正する方法についても明記されています。

質問3 : どのパロアルトネットワークス製品が影響を受けますか？

パロアルトネットワークス・ファイアウォールで最新のPAN-OSでない場合、もしくは、Web管理インターフェイスをインターネットに公開している場合にリスクが生じます。最新のPAN-OSにアップグレードしてない場合でも、以下のベストプラクティスにてWeb管理インターフェイスを保護している場合、この脆弱性から十分に保護することができます。パロアルトネットワークス・セキュリティ勧告にて影響のあるプロダクト一覧が参照できます。https://securityadvisories.paloaltonetworks.com/Home/Detail/102

質問4 : Web管理インターフェイスのベストプラクティスは？

Web管理インターフェイスを保護するベストプラクティスは以下のリンクをご参照ください。

パロアルト ネットワークス装置の管理アクセスを保護する方法

質問5 : もしWeb管理インターフェイス公開を避けられない場合、どうすればいいですか？

意思決定はファイアウォールの管理者に委ねられます。パロアルト ネットワークス装置の管理アクセスを保護する方法をご参照ください。

質問6 : 修正パッチを含む最新バージョンにアップグレードすることによって引き起こされる別の問題はありますか？

最新バージョンへのアップグレートはベストプラクティスで推奨しています。しかしながら一部のお客様ではすぐに実施することが難しい場合がございます。Panoramaや他のオートメーションツールをご使用いただくことで、大規模、複雑な環境下でのアップグレードを簡素化し、実行することを支援することができます。

さらに、 最新バージョンへアップグレートすることによって、ファイアウォールと他の機器との関連性や、設定ポリシーに影響を及ぼす変更がなされる可能性があります。そのようなケースの場合、常に最新バージョンのPAN-OSにして、想定される影響を最小限にする必要があります。PAN-OSの変更、アップグレードにより影響を受ける可能性を最小化するために、全てのPAN-OSリリースノート（https://support.paloaltonetworks.com > TOOLS > Software Updates）をご参照いただけます。

質問7 : Panorama管理サーバも最新バージョンに上げる必要がありますか？

Panorama管理サーバも攻撃者のリスクを最小化するためにアップグレードしていただくことを推奨します。アップグレートしようとしているPAN-OSバージョンによっては、Panorama管理サーバもアップグレートする必要があります。一般的なガイダンスとして、Panorama管理サーバのバージョンは、管理しているファイアウォールの中で利用している最も新しいPAN-OSバージョンに合わせる必要があります。 

質問8 : User IDのために、ファイアウォールをsyslog serverとして指定している場合に、Web管理インターフェイスをアクセスリストにて制限した場合、syslog情報を送ってくるサーバも含める必要がありますか？

はい、User IDのために情報を送ってくるサーバ群のIPアドレスを全て含める必要があります。加えて全てのファイアウォール管理者、Panorama管理サーバ、SNMPモニター用のサーバのIPアドレスを加えたほうがいいでしょう。管理用セグメントがある場合、そのネットワークセグメント（例 : 192.168.1.0/24を許可）を追加することもできます。しかしながら、セキュリティ・リスクをできるだけ軽減したい場合、特定アドレスを追加したほうがいいでしょう。ただし、多くのネットワーク管理ではDHCPを使用しているので、許可した特定アドレスがタイミングによっては変わっている可能性があるので注意してください。