Secure SD-WAN from Palo Alto Networks enables you to secure your branch connectivity and easily adopt an end-to-end Software Defined Wide Area Network (SD-WAN)

PA-220R Datasheet

Security deployments are complex and can overload IT teams with complex security rules and mountains of data from multiple sources. Panorama™ network security management empowers you with easy-to-implement, consolidated policy creation and centralized management features. Set up and control firewalls centrally with industry-leading functionality and an efficient rule base, and gain insight into network-wide traffic and threats.

The world you need to secure continues to expand as both users and applications shift to locations outside the traditional network perimeter. Security teams face challenges with maintaining visibility into network traffic and enforcing security policies to stop threats. Traditional technologies used to protect mobile endpoints, such as host endpoint antivirus software and remote access VPN, are not capable of stopping the advanced techniques employed by today’s more sophisticated attacker. GlobalProtect™ network security client for endpoints, from Palo Alto Networks®, enables organizations to protect the mobile workforce by extending the Next-Generation Security Platform to all users, regardless of location. It secures traffic by applying the platform’s capabilities to understand application use, associate the traffic with users and devices, and enforce security policies with next-generation technologies.

Read this datasheet to learn how to get started quickly with your Demisto implementation utilizing our expert resources.

Palo Alto Networks® PA-3200 Series of next-generation firewalls comprises the PA-3260, PA-3250 and PA-3220, all of which are targeted at high-speed internet gateway deployments. The PA-3200 Series secures all traffic, including encrypted traffic, using dedicated processing and memory for networking, security, threat prevention and management.

Palo Alto Networks® PA-5200 Series of next-generation firewall appliances is comprised of the PA-5280, PA-5260, PA-5250 and PA-5220.

Key features, performance capacities and specifications for our PA-7000 Series.

Implement Zero Touch Provisioning (ZTP) on Palo Alto Networks appliances -- PA-220, PA-220R, PA-800 Series and PA-3200 Series -- and simplify branch onboarding. ZTP streamlines initial deployment processes by allowing network administrators to ship devices directly to their branches without the need of a specialized IT staff to provision the device. This allows businesses to save on time and resources.

Take your user security policies to the next level. With Dynamic User Groups, you can adapt and automate security policies to changes in a user's risk profile. In addition, you can provide temporary access to specific users such as contractors and remote users for a certain period of time.

Palo Alto Networks SD-WAN solution provides world-class security natively integrated with SD-WAN. Watch how you can secure your branch offices by simply enabling SD-WAN on PAN-OS 9.1.

Upgrade to PAN-OS 9.1 to leverage new GlobalProtect enhancements such as greater visibility into all connections and deployments, detailed logs to enable rapid troubleshooting and comprehensive reporting.

Palo Alto Networks PA-220 brings next-generation firewall capabilities to distributed enterprise branch offices and retail locations.

The Security Operating Platform prevents successful attacks and stops attacks in progress to secure the enterprise, the cloud, and the future.

Palo Alto Networks PA-800 Series next-generation firewall appliances, comprised of the PA-820 and PA-850, are designed to secure enterprise branch offices and midsized businesses.

概要 2014年の発見以降、Emotetは最も頻繁に見られるマルウェアファミリの1つとなり、マルスパム（マルウェアを配信するスパムメール）による大規模攻撃キャンペーンによって世界中のコンピュータシステムに感染しています。Emotetがどのようにしてバンキング型トロイの木馬からモジュラー型マルウェアローダへと進化したかを含め、その攻撃キャンペーンについては、すでに多数のセキュリティ組織が幅広く文書化しています。このモジュラー型という特性のおかげで、Emotetの運用者（以下Emotetオペレータ）は、Emotetボットネットの一部となったコンピュータに、追加でマルウェアをインストールすることができます。 Emotetオペレータはこのほか、自分たちのボットネットを「マルウェア・アズ・ア・サービス(Malware-as-a-Service)」として他のサイバー犯罪グループに提供してもいます。これを購入したサイバー犯罪グループは、このサービスを利用して感染システムに自身のマルウェアをインストールします。たとえば最近EmotetがTrickbotというトロイの木馬の配信に利用されたことがありますが、このTrickbotはその後、Ryukと呼ばれるランサムウェアの配信に利用されました。 Emotetは破壊力が極めて高く、企業内でインシデントが発生すればその復旧には何十万ドルものコストがかかります。感染で被る影響にかんがみても、Emotetオペレータの手口を理解し、防御を強化することは企業にとって必要不可欠でしょう。 本稿に説明する私たちの最新調査で、Emotetマルスパム攻撃キャンペーンは今年5月末にかけていったんは鳴りをひそめたものの、日本を含むアジア太平洋地域（主にベトナム、インド、インドネシア、オーストラリア、中国、日本）では、同地域の中小企業（SME）に存在する多数の脆弱なサーバーが、今もEmotetオペレータにより、Emotet亜種の配信に悪用されていることが明らかとなりました。その原因は主にwebサーバーの更新・修正不足によるもので、侵害されたドメインの大部分がブログコンテンツを管理するソフトウェアWordPressを実行していることもわかっています。 アジア地域全体（および、この他のキャンペーン）では、中小企業のwebサイトが高い割合で乗っ取りを受け、マルウェア配信サーバーに悪用される状況が継続的に確認されています。そこで私たちは、アジア地域におけるEmotetに限定した配信実態がどのようなものなのかについて興味を持ちました。地域の国ごとの実態に範囲を絞り込むことは、関係各国におけるCSIRTの取り組みにも役立つでしょう。 Emotet攻撃キャンペーンの概要 Emotet攻撃キャンペーンの手口全体で重要なのは「Emotetの配信ドキュメントや実行可能ファイルのホスティングと配信には、侵害された正当なドメインが利用される」という側面があることでしょう。乗っ取られたドメインの大半は合法的事業を営む中小企業ですが、こうした中小企業には、おそらくはリソースに余裕がないことが原因で、webサーバーの更新やパッチの適用が立ち遅れる傾向があります。この傾向につけ込むのがEmotetオペレータのようなサイバー犯罪グループで、彼らは脆弱性のあるサーバーを侵害し、そこに悪意のあるEmotetの亜種をホスティングして、HTTPリンクをマルスパム攻撃キャンペーンに埋め込むことで配信しています。 下の図1は、Emotet攻撃キャンペーンが被害者のコンピュータにどのように感染するかの概要を示したものです。攻撃者はまず、脆弱なwebサーバーを見つけるため、インターネットをスキャンします。次に、スキャンで見つかったwebサーバーを侵害して、悪意のあるEmotetの亜種をホスティングします。続いて、正規メールを装ったマルスパムキャンペーンを展開し、被害者を騙してマルウェアをホスティングした侵害済みのドメインからEmotet配信ドキュメントないし実行可能ファイルのダウンロードURLをクリックさせます。たいていの場合、Emotet配信ドキュメントにはマクロが含まれており、このマクロがEmotetのペイロードをダウンロードして実行し、被害者のコンピュータを感染させます。このほか、侵害ドメインから直接Emotet実行可能ファイルが被害者のコンピュータにダウンロードされて感染し、大規模Emotetボットネットに参加させられるというケースもあります。 Emotetの帰還 私たちのデータからは、Emotetのマルスパム活動、コマンド&コントロール（C2）活動は3か月半ほどの小休止を挟み、2019年9月16日時点で再びアクティブになった様子がうかがえます。この状況は他社情報をもとにしたメディア報道でも確認されています。これらのEmotetマルスパムキャンペーンに関して公開されたレポートは、その大半が潜在的被害者数や被害者の地理的分布の理解を目的としたものでした。そこで本稿では、乗っ取られた正規ドメインの利用に焦点を当て、これらドメインの初期Emotetドキュメント亜種配信用サーバーとしての利用実態と、APAC各国単位で見た影響度について、理解を深めることを目的としたいと思います。 アジア内のEmotet配信サーバー 乗っ取りを受けた正規ドメインのサーバーは、さまざまな犯罪グループから繰り返しマルウェア配信に使われています。この戦術がよく使われるのは、正規ドメインのネットワークであれば、ほぼ標的組織にブロックされることはないためです。このおかげで、Emotetを含むWord文書や実行可能ファイルは、被害者のホストに届く可能性がぐっと高くなります。 弊社のデータセットから2019年1月以降にEmotetマルウェアの拡散に関与した全アジア地域のドメインを抽出してみると、Emotetオペレータが使用する配信サーバーが2019年初頭から明らかに増加していることがわかります。先に述べたように、Emotetのマルスパム攻撃キャンペーンは5月末にかけていったん鳴りをひそめましたが、その5月に使用された配信サーバー数が前月までのそれと比べて有意に高かったこと(図2参照)は注目に値するでしょう。攻撃者たちは小休止に入る前にボットネットを成長させることで利益の最大化をはかっていたのかもしれません。 国ごとのドメイン数で見ると、最も影響の大きかった国についての興味深い洞察が得られます。下の図3に示すように、影響を受けた国の上位はベトナム、インド、インドネシア、オーストラリア、中国、日本の順となっており、これに若干のASEAN諸国が続きます。 以下のデータからは、APAC全体で脆弱なサーバーが多数、Emotetオペレータによる侵害を受け、Emotetの亜種配信に利用されている実態が浮かび上がってきます。同時にこのデータは、多数の中小企業が定期的にシステムにパッチを適用するベストプラクティスを実施できず、結果的に自身のシステムの悪用を許し、Emotet攻撃キャンペーン全体の成功に大きく貢献する結果となった様子を物語ってもいます。 また、これら侵害ドメインの大半が、ブログコンテンツを管理するソフトウェア、WordPressを実行している点も重要です。たとえばCVE Detailsのような脆弱性トラッキングサイトを少し検索するだけで、WordPressに存在する脆弱性が多数公開されていることがわかります。同様の検索をExploit-DBに対してかければ、毎月多数のエクスプロイトが誰にでもアクセス可能なドメイン上で公開されていますし、こうした公開済みエクスプロイトは、誰でも利用することができます。もちろん、セキュリティ界隈から見れば、脆弱なWordPressサイトを悪用するEmotetオペレータの存在はとくに目新しいことではありません。ですが、各組織にいま一度こうした脅威を再認識してもらい、webアプリケーションにできるだけ早くパッチを適用すること、それによってEmotetオペレータを含む脅威攻撃者たちを阻止し、脆弱性悪用と壊滅的被害の回避につなげること、これらの点はいくら強調してもしたりないでしょう。 結論 Emotetは長年にわたりアクティブな脅威です。現在進行中の攻撃キャンペーン数、そのモジュラー型プラットフォームと破壊性能、関連インシデント数と組織にのしかかる復旧コスト、これらどれひとつとっても、同脅威が現代で最も深刻なサイバー脅威の1つであることの証左といえます。 本稿では、アジア地域全体における配信サーバー数に重点を置いた調査を行いました。その目的は、同地域内の国別で見た実態に光をあてるとともに、脆弱な中小企業のサーバーのサイバー犯罪グループによる悪用実態を明らかにすることにより、企業側のすみやかな改善努力と再認識を促すことにあります。 本稿では、中小企業が自社webサーバーやアプリケーションのパッチ適用に関するサイバー環境を改善することがなぜ不可欠であるのかについても明らかにしました。私たちはこれと並行し、各国の国内CSIRTチームとも協力し、影響を受けた可能性のあるドメインの詳細を共有することで、事態の改善に向けた努力も行っています。 パロアルトネットワークス製品をご利用中のお客様は、同脅威から保護されています。弊社の Threat Prevention プラットフォームでは Wildfire がEmotet マルウェアを検出します。この検出と並行し、侵害が確認されたドメインはPAN-DBのURLフィルタリングソリューションにおいて「malware(マルウェア)」として分類が更新されます。 AutoFocusをお使いのお客様は、次のタグを使用してこれらの活動を追跡できます: Emotet IOC https://github.com/pan-unit42/iocs/tree/master/emotet/sha256-hashes

Unit 42 found evidence that the developers who created the Sakabota tool had carried out two sets of testing activities on Sakabota in an attempt to evade detection. Within one sample created during this testing process, we uncovered a cheat sheet meant to assist operators of the tool to carry out activities on the compromised system and network, which we've never seen before.

For organizations to connect branch offices globally, SD-WAN, MPLS and Internet are all viable options. But which option is best?

概要 「商用マルウェア」（商業的に提供されるマルウェア）が広く利用可能になったことで、技術力のない多数の犯罪者にも攻撃力という恩恵が与えられました。 私たちパロアルトネットワークスの脅威インテリジェンス調査チームUint 42は、マルウェアのサンプルやその機能だけでなく、こうした商用マルウェアのエコシステム、なかでも攻撃者に与することで利益を得ているマルウェア作成者たちの実態に興味をひかれました。 私たちはこれまでも、商用リモートアクセスツール(RAT)を調査することで、Orcus、LuminosityLink、Adwindといったマルウェア作成者とそのユーザーを訴追する法執行機関の努力を支援してきました。たとえば、世界中に蔓延する西アフリカ金融サイバー犯罪攻撃者グループ『SilverTerrier』の実態調査では、現時点で最大のこの金融サイバー犯罪脅威を可能たらしめた商用マルウェアの人気の高さ、とりわけ攻撃におけるRATの利用形態がどのように進化してきたかを知らしめることになりました。 このほか、Orcus RATの背後にいるアクターに対する法的措置はまさに本稿執筆時点でカナダで進行中で、同案件は今後しかるべく起訴に持ち込まれることでしょう。同RATの調査では、2016年4月から調査結果の公開までに、1万6,000件以上のサンプルを収集し、同RATを使用した弊社製品ユーザーへの攻撃を重複なしで4万6,000件以上確認しました。 このOrcus RATの次に私たちが着目したのは、2012年から販売が続いている「Imminent Monitor」と呼ばれるRATでした。 Imminent Monitorの調査では、Orcus RATのそれより4万9,000件多い6万5,000件を超えるサンプルを収集しましたし、弊社製品ユーザーへの攻撃についても、やはり重複なしでOrcus RATのそれより6万9,000件多い11万5,000件以上確認しています。なお、このサンプル数には、弊社製品ユーザーが直接検出したもののほかにウイルス対策ベンダ間で共有しているサンプルが含まれており、観測された攻撃件数は、弊社製品ユーザーの実環境で確認された件数のみが反映されている点にご注意ください。また、実際の攻撃試行総数は、上記数値に反映されている数よりずっと多いものと推定されます。その理由は、同一サンプルで繰り返し行われる攻撃や、シグニチャ検出でブロックされる攻撃についてはこの数値に反映されないからです。 このすさまじい商用マルウェアの普及状況を眺めれば、マルウェア作成者たちが7年近くもの間、誰にも邪魔されることなく利益を上げ続けられる背景に何があるのか、それが知りたくなるというものです。それを知り、マルウェア作成者に対する法的措置の可否を論じる上で最初に明らかにすべきは、彼らが誰であり、どこに住んでいるのか、というインテリジェンスでしょう。この基本的なインテリジェンスがあれば、法執行機関の関心を引き、そこから起訴につなげることができますし、どのような案件をどの法執行機関に照会すればいいのかのヒントをリサーチャーに示すこともできます。 このImminent Monitorの事例でも、Unit 42は国際法執行機関に照会をした上で継続的に協力を提供し、同マルウェアの開発・管理者とそのユーザーに対する法的措置にこぎつけたことで、それ以上の被害が広がらないようにすることに成功しました。 Shockwave™ によるRAT 2012年に「Shockwave™」という名の開発者がドメインimminentmethods[.]infoを登録し、2013年4月にオンラインフォーラムと自身のサイトで「Imminent Monitor」RATの販売を開始しました(のちにこのドメインはimminentmethods[.]netに変更されています)。2012年初頭に同開発者は分散型サービス拒否（DDoS）ツール、「Shockwave™Booter」を提供していましたが、どうやら新しいRATのほうが気に入り、DDoSツールのプロジェクトはお蔵入りしたようです。 この開発者は自身のRATについて「かつてない新しいソケットテクノロジーで作成された最速リモート管理ツール」と謳っています。 ImminentMonitorのクライアントコントロールパネル（図1）は、ImminentMonitorクライアントマルウェアを構築・制御（図2）するためのすっきりした使いやすいインターフェースを提供しています。通常のRATに備わっているリモートデスクトップアクセス機能は一通り揃っていますし、被害者に気づかれにくくするための次のような機能も用意されています。 ファイルマネージャ プロセスマネージャ ウィンドウマネージャ クリップボードマネージャ レジストリマネージャ スタートアップマネージャ コマンドプロンプト TCP接続 リモートウェブカメラ監視 リモートマイクモニタリング パスワード復元 Shockwave™は「これまでのRATでは使われたことのない新しい手法のおかげでリモートデスクトップはおよそ60fpsで表示できる可能性があります。私個人が使っているウェブカメラでは130fpsで表示できています」と公言しています。 2014年にImminent Monitorはサードパーティのプラグインのサポートを開始しました。最初にリリースされたプログラインの1つが「監視中のウェブカメラのライトをオフにする機能」を提供するものでしたが、これについてShockwave™は「Imminent Monitor用の最初のプラグインとしてこれはいいものですね!」というコメントを残していることから、同プラグインが明らかに違法行為を意図したものであることがわかります。 (非)合法リモートアクセスツールの機能 商用RATの通例にもれず、開発者は自らの潔白を主張し、違法な機能やマルウェアとしての利用意図とは無縁だとしています。 「We at Imminent Methods are not responsible for the nature in which you use...

Better run, better take cover… Unit 42 focuses on “Imminent Monitor,” a RAT offered for sale since 2012 and subsequently helps initiate & drive international law enforcement action to proceed with charging those responsible for the development and management of this malware.

Join Arista and Palo Alto Networks security experts and learn how you can deploy Arista MSS together with Palo Alto Networks NGFWs to inspect traffic and deliver robust security across a secure, resilient, and high-performance Arista data center fabric.

概要 サーバーサイドリクエストフォージェリ(SSRF)とは、ファイアウォールの背後にある内部ネットワークやローカルホストに攻撃者のリクエストをリダイレクトしてしまうWebアプリケーションの脆弱性を指しています。SSRFは、クラウドサービスにとってとくに脅威となります。というのも、メタデータAPIを使用することで、基盤となるクラウドインフラストラクチャの構成やログ、認証情報などにアプリケーション側からアクセスできてしまうからです。メタデータAPIは、通常ローカルの接続元に限定してアクセスするものですが、SSRF脆弱性があるとインターネット側からでもアクセスできてしまいます。さらにこの種類の脆弱性は、コンテナサンドボックスによる保護もバイパスしてしまうので、内部ネットワークの偵察や水平展開からリモートコード実行にいたるまでの扉を開きかねません。 コンテナ内のアプリケーションはデフォルト設定でホスト上のメタデータAPIに直接アクセスできます。これにより、コンテナエスケープ、つまりコンテナから外のホストへのアクセスが特例的に可能となります。こうした問題がどの程度深刻なものであるかを知るために、私たちパロアルトネットワークス脅威インテリジェンス調査チームUnit 42のリサーチャーは、Jiraという商用プロジェクト管理ソフトウェアに存在するSSRF脆弱性CVE-2019-8451を例として取り上げ、この脆弱性による6つのパブリッククラウドサービスプロバイダ(CSP)への影響について調査することにしました。このJiraのSSRF脆弱性は、2019年7月に米金融大手Capital Oneのデータ侵害につながった脆弱性と同じ種類のものです。 弊社の脆弱性スキャナを使って確認できた内容は次の通りです。 パブリッククラウド上にはインターネットに公開されているJiraインスタンスが7,000以上ある この7,000強のJIRAインスタンスの45％にあたる3,152個のインスタンスにCVE-2019-8451の脆弱性があり、これらはパッチ適用も更新もされていない この3,152個の脆弱なインスタンスの56％にあたる1,779個のインスタンスがクラウドインフラストラクチャのメタデータを露出させている NVDによれば、CVE-2019-8451はバージョン7.6で初めて導入されたことになっていますが、私たちの調査からは、実際には2017年11月にリリースされたバージョン7.6ではなく、2011年3月にリリースされたバージョン4.3にまでさかのぼって同脆弱性の影響を受けることがわかりました。露出するメタデータは、内部ネットワークの構成、ソースコード、認証情報にまで及びます。影響を受ける組織にはテクノロジー・産業・メディア関連企業が含まれていましたが、とくにこれらのセクタに限定されるということはありません。 サーバーサイドリクエストフォージェリとは サーバーサイドリクエストフォージェリ(SSRF)とは先に説明したとおりwebアプリケーション脆弱性で、本来ならサーバーに制限されているリソースに、悪意のあるリクエストをリダイレクトしてしまうものです。攻撃者は、脆弱なアプリケーションを騙して内部ネットワークやローカルホストなど任意のドメインに悪意のあるリクエストを転送することで、ファイアウォールを回避します。もっともよくあるタイプのSSRFリクエストはHTTP(s)ですが、ほかのすべての有効なUniform Resource Identifier(URI)スキーム、たとえばホストファイルシステム(file:////)、辞書サービス(dict://)、redisサービス(redis://) などを利用することができます。攻撃者は、対象アプリケーションがそのURIスキームをサポートさえしていれば、脆弱なサーバーと信頼関係をむすんでいるあらゆるターゲットにアクセスできますし、アクセスには追加の認証も必要ありません。 SSRFの根本的要因は、あるwebアプリケーションが別ドメインからのリソースを取得してリクエストに応えなければならないとき、その入力URLを適切にサニタイズせず、攻撃者に宛先を操作させてしまうことにあります。たとえばCVE-2019-8451の場合、脆弱性のあるAPI/plugins/servlet/gadgets/makeRequest?url=endpointがサービスプロバイダのエンドポイントからデータを取得し、gadgetに入力していくことになります。このとき、サーバーはクエリ文字列を検証し、ホワイトリストに登録されたエンドポイントのみを許可するのですが、ここでJiraWhiteListクラスに論理エラーがあり、パラメータの文字列に含まれる「@」記号がホワイトリスト検証をバイパスできてしまうのです。つまり、http://vulnerablehost.com/plugins/servlet/gadgets/makeRequest?url=http://vulnerablehost.com@http://targethost.comに送信されたリクエストは、targethost.comにリダイレクトされることになります。攻撃者がこの論理エラーを悪用すれば、脆弱なサーバーの到達範囲内にある任意のターゲットにHTTPリクエストを送信することができるようになります。 パブリッククラウドのメタデータAPI ほとんどのクラウドサービスプロバイダ(CSP)は、メタデータAPIを提供しています。メタデータAPIとは、VMインスタンス上で実行されているプロセスが、そのVMについての情報を得やすくするためのもので、これによってプロセスは自身の実行環境を把握し、実行環境に応じた構成変更ができるようになります。メタデータAPIからは、インスタンスID、イメージID、プライベート/パブリックIP、ネットワーク構成などの情報が提供されます。このほか、VMの起動スクリプトやシャットダウンスクリプトも、メタデータサービスに配置されることがあります。こうすることで、同一のイメージからそれぞれに設定の異なる複数のVMインスタンスを作成できるようになります。CSPによっては、アプリケーションから動的なデータをメタデータAPIに書き込み、それを一時データストレージとして使用できる場合もあります。 メタデータAPIはVMインスタンス内からのみアクセスでき、ホスト外に公開されることはありません。このAPIにはどんなプライベートIPを割り当ててもよいのですが、ほとんどのCSPはルーティング不可の(リンクローカルな) IPアドレスである169.254.169[.]254を割り当てています。たとえば、あるプロセスは、AWS EC2インスタンス上でcurlコマンドを発行し、そのロールに関連付けられたセキュリティ認証情報を取得することができます(図1参照)。 curl http://169.254.169[.]254/latest/meta-data/iam/security-credentia ls/role-name デフォルトでは、すべてのユーザーとプロセスにメタデータAPIへの完全なアクセス権限があります。観測で確認できた興味深い内容のひとつが、コンテナ内のアプリケーション(Docker、Kubernetes、ECS、EKSなど)も、ホストのメタデータAPIにアクセスできることです。コンテナから簡単にホスト側のメタデータにアクセスできるということは、便利な反面リスクでもあります。というのも、コンテナ内アプリケーション側は、ホストのメタデータAPIにクエリを発行し、添付した認証情報を使用してS3やRDSなどほかのクラウドサービスにアクセスすることができますし、ホストメタデータAPI側も、コンテナ化されたアプリケーションが機密性の高いホストのメタデータに直接アクセスできるよう、コンテナの「脱出経路」を用意しているからです。つまりコンテナが侵害されれば、攻撃者はこの経路を悪用してクラウド内ホストそのほかのサービスを侵害できる、ということになるのです。メタデータを公開せずともホスト-コンテナ間でデータを共有するすべはほかにもありますから、この利便性は実は潜在リスクに見合っていません。 さて、メタデータAPIサービスは通常ならインターネットに直接公開されることはないわけですが、インターネットに向けられた脆弱なアプリケーションがあれば、間接的には公開されてしまうおそれがあります。つまりSSRF脆弱性の存在はメタデータAPIサービスをインターネット全体に晒すことに等しいのです。これにより、露出したメタデータをもとに同じ仮想プライベートクラウド(VPC)内のほかのホストがさらに侵害されたり、クラウドインフラ全体が乗っ取とられてしまうおそれさえあります。機密性の高いメタデータとその影響の例としては、次の内容があげられます。 IAMの認証情報: この情報はS3バケットやコンテナレジストリなどのクラウドサービスへのアクセスに使用できます。対象のインスタンスに管理者のアイデンティティが紐付けられていたり、そのアイデンティティが過剰な特権を付与されてプロビジョニングされている場合、攻撃者がクラウドインフラ全体を侵害してしまうおそれもあります。 ユーザーデータ: メタデータ内には、ユーザーが指定したデータを格納することができます。通常、VMの起動スクリプトやシャットダウンスクリプトもユーザーデータに配置されます。これにより、当該VMがアクセスしうるアプリケーション構成やVM構成などのクラウドリソースが露出しかねません。こうしたスクリプト内にハードコードされた認証情報が見つかることも珍しくはありません。 VMのイメージID: そのイメージが公開されていれば、悪意のある攻撃者は当該VMを精査して侵害戦略を立てることができます。 ネットワーク構成: VMのプライベートIP、パブリックIP、MAC、ローカルホスト名、サブネット、VPCなどのネットワーク情報が露出されてしまいます。 メタデータAPIの悪用を防ぐため、一部のCSPはメタデータのHTTPリクエストに特別なヘッダをつけることを要件としている場合があります。たとえばAzure VMの場合、「Metadata: True」というヘッダをチェックしますし、Google Compute Engineであれば「Metadata-Flavor: Google」というヘッダをチェックし、要求されたヘッダのないHTTPリクエストは拒否されます。攻撃者にはリダイレクトされたリクエストのヘッダを制御することはできないので、こうしたヘッダを適用すればSSRFによるメタデータAPIアクセスはうまく阻止できます。表1は、調査対象の6つのCSPのメタデータAPIを比較したものです。 パブリッククラウドにおけるCVE-2019-8451の影響 パブリッククラウドにおけるSSRFの実際的な影響を知りたければ、パブリッククラウドに広く展開されているアプリケーションで既知のSSRF脆弱性を持つものを見つけなければなりせん。そこで私たちの目を引いたのが、2019年8月に発見された認証なしで悪用可能なJiraのSSRF脆弱性CVE-2019-8451でした。このパッチはすぐにリリースされましたが、Jiraのようにビジネスオペレーションに密接に関連しているソフトウェアが即座に更新されることはめったにありません。システム管理者も、業務を中断するよりパッチ適用を遅らせたがるのです。Shodan検索したところ、現状、インターネットには約25,000個のJiraインスタンスが公開されていることがわかりました。次に、Jiraデプロイ数が最も多い6つのCSPを選択して調査を実施しました。調査目標は「パブリッククラウドに存在するCVE-2019-8451に対して脆弱なJiraインスタンス数」、「それらJiraインスタンスが悪用される可能性」、「メタデータを露出しているホストの数」を特定することでした。調査の結果、6つのパブリックCSPで7,002個のJiraインスタンスが見つかりました。図2はそれぞれのJiraバージョン分布を示したものです。 CVE-2019-8451に対するパッチが最初に適用されたバージョンが8.4であることを考慮すると、図2のJiraインスタンスの80％が8.4未満のバージョンであるということは、パッチを適用しない限りこれらすべてのバージョンに脆弱性がある可能性があるということを意味します。また私たちがスキャンした結果からは、7,002個のJiraインスタンスのうち、45%にあたる3,152個のインスタンスにはパッチが適用されておらず、脆弱性があることもわかっています。 図3は、パッチが適用されていないJiraのバージョン上位10位までを示しています。3,152個の脆弱なJiraインスタンスのうち、56%にあたる1,779個がホストのメタデータを露出させています。表2は、すべてのCSPの統計をまとめたものです。DigitalOceanを利用しているユーザーのメタデータ露出割合が最も高く(93％)、次点がGoogle Cloudのユーザー(80％)、その後はAlibabaのユーザー(71％)、AWSのユーザー(68％)、Hetznerのユーザー(21％)と続きます。 メタデータ露出のない唯一のCSPがMicrosoft Azureです。Microsoft AzureではメタデータAPIについて先に述べたヘッダが厳密に要求されるので、すべてのSSRFリクエストが実質上ブロックされます。GCPの場合、最新のメタデータAPI (V1)であればヘッダ要件は強制ですが、レガシーAPIエンドポイント(v0.1およびv1beta1)が明示的に無効化されていないかぎり、攻撃者はレガシーAPI経由でほぼすべてのメタデータにアクセスできます。 図3からは予期せぬ知見が得られました。その1つが、上位10バージョンに含まれる2つのバージョンv7.3.6とv6.3.6が、Jiraの公開している脆弱なバージョンに含まれていないことです。Jiraのバグ管理システムとNVDによれば、「CVE-2019-8451はv7.6で初めて導入され、v8.4で修正された」ことになっています。ところがスキャン結果からは、上記対象以外の多くのバージョンも脆弱であることが示されたのです。そこで私たちは当該脆弱性による実際の影響を調べるために、SSRFを引き起こす脆弱性をもつクラスJiraWhiteListを確認しました。メソッドを1つしかもたないこのシンプルなJavaクラスは、Jiraにv4.3から存在しています。このレガシーJiraソフトウェアについてさらに調査を進めた結果、本脆弱性は、8年以上前の2011年3月にリリースされたバージョン4.3まで遡って実際に影響を与えることが確認されました(訳注: ただし脆弱性のあるバージョンは2019年11月末にサポートを終了しています)。 緩和策とベストプラクティス SSRF脆弱性の根本的要因は適切な入力サニタイズが行われないことにあります。この問題を解決するには、開発者がユーザー入力の形式とパターンを厳密に検証してから、アプリケーションロジックに渡さなければなりません。 ここではwebアプリケーションのインストールと管理のみを行うシステム管理者向けに、SSRFの影響緩和で推奨される保護対策の一例を以下に示します。 ドメインのホワイトリスト登録:...

Unit 42 researchers took a closer look at the Jira SSRF vulnerability (CVE-2019-8451), which allows for internal network reconnaissance, lateral movement, and even remote code execution, and studied its impact on six public cloud service providers (CSPs).

Branch office network security represents the means to protect the internet traffic coming to and from the branch offices to other branch offices, data centers, headquarters or remote employees.

Palo Alto Networks (NYSE: PANW), the global cybersecurity leader, announced today financial results for its fiscal first quarter 2020, ended October 31, 2019.

Palo Alto Networks (NYSE: PANW), the global cybersecurity leader, today announced that it has entered into a definitive agreement to acquire Aporeto Inc., a machine identity-based microsegmentation company.

The Security Reference Blueprint for Higher Education outlines security principles and a framework using the preventative capabilities of the Palo Alto Networks Next-Generation Security Platform. Using this blueprint enables education security and IT professionals to protect PII and IP data, maintain a high-performance, high-availability learning environment, and prepare to meet new and emerging technological challenges while reducing security threats.

View this infographic to see key findings from the 2018 State of SOAR Report.