Palo Alto Networksは2026年2月12日、次世代ファイアウォールOS「PAN-OS」のAdvanced DNS Security(ADNS)機能において、サービス拒否(DoS)につながる脆弱性(CVE-2026-0229)を公表しました。細工されたパケットを送信されることで、未認証の攻撃者がシステム再起動を引き起こせる可能性があるとしています。再起動を繰り返し誘発されると、ファイアウォールがメンテナンスモードに入る場合があると説明しています。
なお、本脆弱性はネットワーク経由で悪用可能で、ユーザー操作を必要としない一方、同社は「現時点で悪用(攻撃での利用)は把握していない」としています。
影響を受ける条件(露出条件)
影響を受けるには、ファイアウォール側で ADNSが有効化 されていることに加え、スパイウェアプロファイル(spyware profile)のアクションが block/sinkhole/alert のいずれか(=allow以外)に設定 されている必要があります。
この条件を満たす環境では、悪意あるパケットにより再起動が誘発され、可用性に影響が及ぶ可能性があります。
影響を受けるバージョン(対象範囲)
影響が確認されているのは、以下のPAN-OS系統です。
-
PAN-OS 12.1:12.1.4未満
-
PAN-OS 11.2:11.2.10未満
一方で、PAN-OS 11.1/PAN-OS 10.2は影響なし、また Cloud NGFW と Prisma Access も影響なし とされています。
修正版(推奨アップデート)
Palo Alto Networksは、影響を受ける系統について、次の修正版へのアップグレードを推奨しています。
-
PAN-OS 12.1:12.1.4以降へ更新
-
PAN-OS 11.2:11.2.10以降へ更新
サポート切れの旧バージョンを利用している場合は、サポート対象の修正版へアップグレードするよう求めています。
回避策はなし シグネチャ検知も困難
同社は「既知の回避策はない」としており、脆弱性の性質上、Threat Preventionのシグネチャ(検知ルール)で検知することも難しいと説明しています。







