米政府機関がPalo Alto NetworksのVPNセキュリティの欠陥を警告

米政府は、広く使われているPalo Alto Networks（パロアルトネットワーク）のネットワーク機器に発見された新しい「クリティカル」なセキュリティ脆弱性を、国家を後ろ盾とするハッカー集団が悪用しようとする可能性が高いと警告した。悪用されれば比較的簡単に会社のネットワークに侵入できる。

これは米国防総省の一部門でありNSA（米国家安全保障局）の元姉妹機関である米サイバー軍からの警告であり、企業は脆弱な機器にできるだけ早くパッチを適用する必要があると述べている。

欠陥はPalo Alto Networksのファイアウォールと法人向けVPNアプライアンスを強化するいくつかのソフトウェアにある。従業員による自宅から会社ネットワークへのアクセスを可能にする（パンデミック時には重要）とともに、権限のないユーザーを排除するためのソフトウェアだ。

通常、従業員は会社で使うユーザー名とパスワードを入力する必要があり、多くの場合2要素のパスワードを入力する。だがこの欠陥により、特定の状況下で、パスワードを必要とせずに攻撃者が機器の1つをコントロールし、残りのネットワークへのアクセスが可能になる恐れがある。

Palo Altoによると、ソフトウェアアップデートで修正が行われたが、企業はSAML（ユーザーがネットワークにログインする手段）をオフに切り替えて、欠陥を軽減することもできるという。

だが修正をインストールしようとする企業に時間の猶予はない。VPNアプライアンスとファイアウォールは、企業ネットワークへの自由なアクセスの入り口となるため、ハッカーにとっては大きなターゲットとなる。

昨年、研究者らはPalo Altoを含む3つの法人向けVPNアプライアンスに欠陥を見つけた。修正はすぐに行われたが、パッチの適用に時間がかかった企業のネットワークは攻撃され、米国土安全保障省のサイバーアドバイザリーユニットが注意喚起情報を出した。ハッカーが脆弱性を利用してランサムウェアをネットワーク全体に拡散させた例もあった。

今のところPalo Altoは、ハッカーがこの脆弱性を悪用した痕跡はないと述べている。だが、ネットワークに差し迫ったリスクを考えると、企業はできるだけ早くパッチを適用する必要がある。

関連記事：Palo Alto Networksが分散化対応でSD-WANのCloudGenixを約455億円で買収