About kkondo

※この特別勧告はパロアルトネットワークス・PSIRT(Product Security Incident Response Team ：製品のセキュリティや脆弱性対応を行う専門チーム)より報告された「Urgent action recommended regarding recent security advisory PAN-SA-2017-0027」を、日本のユーザー様向けに和訳したものとなります。当勧告と合わせてPSIRTの原文もご確認いただきますようお願い申し上げます。 https://live.paloaltonetworks.com/t5/Community-Blog/Urgent-action-recommended-regarding-recent-security-advisory-PAN/ba-p/194220   パロアルトネットワークスのお客様へ   2017年12月5日、パロアルト ネットワークス・PSIRTはセキュリティ勧告PAN-SA-2017-0027を公開すると共に、PAN-OS 6.1.18とそれ以前にリリースされたバージョン、PAN-OS 7.0.18とそれ以前にリリースされたバージョン、およびPAN-OS 7.1.13とそれ以前にリリースされたバージョンが緊急性の高い脆弱性(CVE-2017-15944)の影響を受けることの情報公開を行い、推奨されるベストプラクティスを提案すると共に、修正版メンテナンスバージョンをリリースしています。   この勧告の公表以降、 Web 管理インターフェイスをインターネットに公開しており、かつ、修正版メンテナンスバージョンをご適用頂いていない極一部の環境において、この脆弱性(CVE-2017-15944)を突いた悪意のある行動が確認されておりますことをここに報告申し上げますと共に、弊社製品 (PA シリーズ、 Panorama) をご利用のお客様におかれましては、この特別勧告に沿ったご対応を改めてご確認の上、実施頂くことを推奨致します。     緊急対処が推奨される場合： 修正パッチを含むPAN-OS へのアップグレードが完了していない環境 PAN-OSにおいて、Web管理インターフェイスがパブリックIPをSourceとするアクセスを許可している(インターネット側から直接接続できる状態)環境 修正版メンテナンスリリースが未適用、かつWeb管理インターフェイスがインターネットから直接接続可能な状態の場合、リスクは極めて高くなりますので早急に対処する必要があります。   恒久的対応策、および運用回避策 修正版メンテナンスリリースのPAN-OS にアップグレード 管理インターフェイスへアクセス可能なアドレスを限定するためのベストプラクティスの適用   2017年12月5日に発行した初期の勧告にて、この脆弱性の対応は、PAN-OS 6.1.19とそれ以降にリリースされたバージョン、PAN-OS 7.0.19とそれ以降にリリースされたバージョン、およびPAN-OS 7.1.14とそれ以降にリリースされたバージョンにて完了している旨をご案内しております。従いまして、可能な限り速やかに修正版メンテナンスリリースを適用することを強く推奨致しております。 修正版メンテナンスリリースの適用が困難であり、Web管理インターフェイスがインターネットから直接接続可能な状態の場合は管理インターフェイスを防御するためのベストプラクティスを実施して頂くよう推奨致します。   注意: もしWeb管理インターフェイスを意図してインターネットに公開してない場合、例えばグローバルプロテクトのポータルもしくはゲートウェイのインターネット向けインターフェイスに誤って、HTTP もしくは HTTPS のマネージメントプロファイルを適応していただいているケースがございます。これについての詳細は、 Best Practices for Securing Administrative Access（英語版の管理者ガイド、2018/1/17時点で日本語管理者ガイドには翻訳されていません）をご参照いただくか、ご質問があればパロアルト ネットワークス・サポートチーム(https://support.paloaltonetworks.com)にケースオープン頂くようお願いします。   弊社が提案するベストプラクティスとしては、すべてのお客様において、Web管理インターフェイスをインターネットに公開(インターネット側から直接接続できる状態）する運用を回避するよう強く推奨しております。 特に修正版メンテナンスリリースを適用していない環境においては、脆弱性に伴うリスクが加算されます。弊社が提案するベストプラクティスは以下の要点についての対応を推奨致しております。   Web管理インターフェイスへの接続を制限するため、管理ネットワーク専用のVLAN、管理インターフェイスへの特定IPアドレス、もしくはその両方からのみ接続を許可する。 インターネットを介したWeb管理インターフェイス接続が必要な場合は、セキュアなVPN接続を構成する。 インターネットに直接接続可能な管理インターフェイスを設置する場合、管理インターフェイス向けトラフックに対して、SSL復号化と、脅威防御を適用頂く。［セキュリティ勧告PAN-SA-2017-0027を公開した際に、CVE-2017-15944脆弱性攻撃を防御する IPSシグネチャ（40483と40484番）をリリースしています。これらのシグネチャ設定を”Block”に設定して、攻撃を防御するよう設定して下さい。]   詳細については以下のKB もご参照ください。 PAN-OSアップグレードのベスト プラクティス パロアルト ネットワークス装置の管理アクセスを保護する方法 適切な脅威防御適用による脆弱性緩和   本件についてご不明点な点やご質問がある場合は、パロアルト ネットワークス・サポートチーム(https://support.paloaltonetworks.com)にケースオープン頂き、ケースの件名に “CVE-2017-15944”を追記して頂けますようお願いします。   敬具 パロアルトネットワークス・PSIRT    ---------------------------------------------------------------------------------------------------------------------------------------------   よくある質問   質問1 : 何の問題ですか？   2017 年 12 月上旬に修正パッチを既に提供させていただいているこの脆弱性 (CVE-2017-15944 / PAN-SA-2017-0027) は攻撃者が修正パッチをあててないファイアウォール、かつ保護策を設定していない管理インターフェイスに対してコードをリモート実行することができます。   この脆弱性はWeb 管理インターフェイスをインターネットに公開しているお客様が対象です。修正パッチをあててない、かつ Web 管理インターフェイスを公開しているお客様はシステム侵害を受ける可能性があります。さらにいくつかの事例で、グローバルプロテクトの誤った設定によって、意図せず Web 管理インターフェイスを公開しているケースが報告されています。以下の KB 記事は推奨設定のガイダンスを提供します。   How to Configure GlobalProtect How to Secure the Management Access of your Palo Alto Networks Device     質問2 : この脆弱性のリファレンスは何ですか？   PAN-SA-2017-0027 はパロアルトネットワークス・PSIRT(Product Security Incident Response Team ：製品のセキュリティや脆弱性対応を行う専門チーム ) より報告されたセキュリティ勧告です。 (https://securityadvisories.paloaltonetworks.com/に掲示されています)  CVE-2017-15944 は実際の脆弱性に対するCVE (Common Vulnerabilities and Exposures)です。このシステムは独自に脆弱性を調査するセキュリティ・コミュニティです。 このセキュリティ勧告 PAN-SA-2017-0027 は脆弱性CVE-2017-15944情報を提供するとともに、提供させていただいている修正パッチにて脆弱性を修正する方法についても明記されています。     質問3 : どのパロアルトネットワークス製品が影響を受けますか？   パロアルトネットワークス・ファイアウォールで最新のPAN-OS でない場合、もしくは、 Web 管理インターフェイスをインターネットに公開している場合にリスクが生じます。最新の PAN-OS にアップグレードしてない場合でも、以下のベストプラクティスにて Web 管理インターフェイスを保護している場合、この脆弱性から十分に保護することができます。パロアルトネットワークス・セキュリティ勧告にて影響のあるプロダクト一覧が参照できます。 https://securityadvisories.paloaltonetworks.com/Home/Detail/102     質問4 : Web管理インターフェイスのベストプラクティスは？   Web管理インターフェイスを保護するベストプラクティスは以下のリンクをご参照ください。 パロアルト ネットワークス装置の管理アクセスを保護する方法     質問5 : もしWeb管理インターフェイス公開を避けられない場合、どうすればいいですか？   意思決定はファイアウォールの管理者に委ねられます。パロアルト ネットワークス装置の管理アクセスを保護する方法をご参照ください。     質問6 : 修正パッチを含む最新バージョンにアップグレードすることによって引き起こされる別の問題はありますか？   最新バージョンへのアップグレートはベストプラクティスで推奨しています。しかしながら一部のお客様ではすぐに実施することが難しい場合がございます。Panorama や他のオートメーションツールをご使用いただくことで、大規模、複雑な環境下でのアップグレードを簡素化し、実行することを支援することができます。   さらに、 最新バージョンへアップグレートすることによって、ファイアウォールと他の機器との関連性や、設定ポリシーに影響を及ぼす変更がなされる可能性があります。そのようなケースの場合、常に最新バージョンのPAN-OS にして、想定される影響を最小限にする必要があります。PAN-OSの変更、アップグレードにより影響を受ける可能性を最小化するために、全ての PAN-OS リリースノート（ https://support.paloaltonetworks.com > TOOLS > Software Updates ）を ご参照いただけます。       質問7 : Panorama 管理サーバも最新バージョンに上げる必要がありますか？   Panorama 管理サーバも攻撃者のリスクを最小化するためにアップグレードしていただくことを推奨します。アップグレートしようとしている PAN-OSバージョン によっては、 Panorama 管理サーバもアップグレートする必要があります。一般的なガイダンスとして、 Panorama 管理サーバのバージョンは、管理しているファイアウォールの中で利用している最も新しい PAN-OS バージョンに合わせる必要があります。       質問8 : User ID のために、ファイアウォールを syslog serverとして指定している場合に、Web 管理インターフェイスをアクセスリストにて制限した場合、 syslog 情報を送ってくるサーバも含める必要がありますか？   はい、User IDのために情報を送ってくるサーバ群のIP アドレスを全て含める必要があります。加えて全てのファイアウォール管理者、 Panorama 管理サーバ、 SNMP モニター用のサーバの IP アドレスを加えたほうがいいでしょう。管理用セグメントがある場合、そのネットワークセグメント（例 : 192.168.1.0/24を許可）を追加することもできます。しかしながら、セキュリティ・リスクをできるだけ軽減したい場合、特定アドレスを追加したほうがいいでしょう。ただし、多くのネットワーク管理ではDHCPを使用しているので、許可した特定アドレスがタイミングによっては変わっている可能性があるので注意してください。   ... View more

Difference Between SSL Forward-Proxy and Inbound Inspection Decryption Mode https://live.paloaltonetworks.com/t5/Learning-Articles/Difference-Between-SSL-Forward-Proxy-and-Inbound-Inspection/ta-p/55553   概要 SS通信を復号化する対象にするために、SSL復号化ポリシーを設定する際、2つの違うモードを選択できます。 SSL フォワード プロキシ SSL インバウンド インスペクション この文章では2つのモードの違いについて説明します。   詳細   フォワード プロキシ フォワード プロキシ・モードでは、PAN-OSはポリシーにヒットしたSSL通信をインターセプトし、Proxy（中間者）として動作し、アクセスするURLの新しい証明書を発行します。この新しい証明書は、クライアントがウェブサイトにSSLでハンドシェイクする際に使われます。この証明書は、自己証明局もしくは他の証明局によって認証されたものです。 注意: もし第三者機関によって発行された証明書を使いたい場合は、CA証明局と、パブリック、ブライベート（鍵ペア）をインポートする必要があります。   クライアントはHTTPSで、www.google.comに接続しにいきます。通信が復号化ポリシーにマッチします。 この通信はSSLプロキシ・エンジンに受渡しされ、www.google.comへの証明書はインターナルPKIによって生成されます （CA証明書によって署名される)。 PAN-OSはSSL通信を代理応答し、Webサーバに対してSSL通信をセットアップします。 WebサーバーはPAN-OS デバイスとハンドシェイクを始めます。 PAN-OSデバイスはServer Helloメッセージ内の生成された証明書とクライアント情報でSSLハンドシェイクを完了します。   インバウンド インスペクション インバウンド インスペクション・モードではPAN-OSはポリシーにヒットしたSSL通信をProxyとして動作しません。PAN-OSはSSL通信を復号化して、密かにSSLハンドシェイクを盗聴して、以下の設定例にあるように、設定された関連した証明書（鍵ペア）を使用します。 注意: この復号化モードは、対象のWebサーバー証明書がコントロール配下で、パロアルトネットワークス デバイスに鍵ペアを取り込むことができることが前提です。それゆえ、この復号化モードは、内側Webサーバー向けの内向き通信に対してSSL復号化としてしばしば使われます。   クライアントはHTTPSで、www.google.comに接続しにいきます。通信が復号化ポリシーにマッチします。 SSLプロキシ・エンジンがSSLセッションに関連された鍵ペアを盗聴し始めます。 SSLリクエストは、ProxyされずにWebサーバーに送付されます。 PAN-OSは両証明書（サーバーが送付したものとステップ2の証明書）が同じかどうかハンドシェイク中のServer-Helloメッセージにて検査します。 一致した場合、復号化は残りのセッションに対して成功します。さもなければ、復号化は失敗します（該当のグローバル カウンターが計上されていきます。）   著者 : nbilly ... View more