パロアルトネットワークスの脆弱性2件(CVE-2024-0012、CVE-2024-9474)が連鎖すると、攻撃者が無認証のリモート管理アクセスから最終的にルート権限を取得できることが、2024年11月の「Operation Lunar Peek」で確認されたと報じられました。これらはCensysで管理インターフェースが1.3万台以上露出していたとされます。パロアルトはCVSS v4.0で前者を9.3、後者を6.9と採点しましたが、NVDは同じ2件をCVSS v3.1で9.8と7.2と評価し、結果が食い違いました。さらに、低いスコアの方がパッチ適用の閾値を下回り、管理者権限が必要という前提もあって個別対応として優先度が下がった可能性が指摘されています。CrowdStrikeのアダム・マイヤーズ氏は、攻撃は単独ではなく連鎖で成立するのに、トリアージが各CVEを孤立事象として扱ったことが見落としにつながったと述べました。記事は、CVSSが想定する「単体評価」では捕捉できない5つの失敗類型として、連鎖、短期間での武器化、未適用の長期温存、CVEに入らない身元確認の穴、AIによる発見量増大による運用キャパの破綻を挙げています。CrowdStrikeは対処として「Project QuiltWorks」を立ち上げ、脆弱性急増による修正パイプラインの課題に複数社で取り組む方針です。
参照元:2026/04/25 「CVSS scored these two Palo Alto CVEs as manageable. Chained, they gave attackers root access to 13,000 devices.」 https://venturebeat.com/security/cvss-triage-failure-chained-vulnerability-audit-security-directors
コメント