SSL-VPN装置への不正アクセス、国内38社に影響か?


日経記事「テレワーク、VPN暗証番号流出 国内38社に不正接続(NIKKEI、2020.08.24)」というわかりづらい表題の記事があがった。
勤務先においても多少話題性はあった。

簡単に言ってしまえば、「VPN装置の脆弱性を放置していたため不正接続が行われた」といったところだ。
このタイトル、「テレワーク」「VPN」「暗証番号流出」「不正接続」どう関わりあるのか?というタイトル内容にネット民は理解に苦しむ問題が発生。

 

Hacker leaks passwords for 900+ enterprise VPN servers(ZDNet、2020.08.04)
900件以上のVPNサーバー(Pulse Connect Secure)のパスワードを含む情報がハッキングフォーラムで公開された。その1割が日本国内のIPアドレスで、ファイル生成日より2020年6月末から7月にかけデータ窃取の不正アクセスが行われた可能性があるという事件だ。

 

Pulse Connect Secure の脆弱性を狙った攻撃事案(JPCRT/CC Eyes、2020.03.26)
今年の3月26日記事リリース時点で、Pulse Connect Secureの脆弱性(CVE-2019-11510およびCVE-2019-11539)を悪用した攻撃の被害報告が、国内の組織から複数寄せられいていたという。テレワークの実施が拡大するなか、依然として脆弱性の修正パッチが未適用のVPN機器は多く残存しており、JPCERT/CCは管理者へ連絡を続けている中で、起きた事件。管理者の手抜きによって招いた事件といっても過言が無いのでは?と考えられる。この記事には、不正進入に成功後の挙動として、攻撃者は認証情報を窃取し、ネットワークへの侵入に成功した後にPsExecの使用、Windowsの資格情報を窃取するツールMimikatzの実行や、Active Directory(AD)のデータベースファイル(ntds.dit)を窃取した痕跡が確認されているという。

 

ADで関わる記事、Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起(Microsoft、2020.07.14)の記事も今後は注目が必要になってくる。

 

複数の SSL VPN 製品の脆弱性に関する注意喚起(JPCERT/CC、2019.09.06)
ここでは、3製品の脆弱性について注意喚起をしている。
– Palo Alto Networks (CVE-2019-1579)
– Fortinet (CVE-2018-13379)
– Pulse Secure (CVE-2019-11510)

 

国内シェアNo.1?のFortinetにおいても脆弱性が存在しているため、対策が必要だ。

CVE-2018-13379 FortiGate SSL-VPN 脆弱性について(ネットワールド、2019.09.12)
この記事では、
FortiOS v6.0.0 〜 v6.0.4
FortiOS v5.6.3 〜 v5.6.7
FortiOS v5.4.6 〜 v5.4.12
これらのバージョンの場合には脆弱性があると注意喚起されている。
このバージョンにおいても調査したところ、注意が必要で、例えば、v5.4.10を利用している場合、一旦v5.4.12にアップデートを行い、v5.6.6にアップデートした上でv6.0.10にアップデートが必要となる。結構面倒だったりする。

 

2020年も脆弱性に注意:「CVE-2019-19781」と「CVE-2020-0601」(トレンドマイクロ、2020.01.17)
トレンドマイクロでは年初、JPCERT/CCが指摘した3製品の脆弱性に注意喚起を継続しつつ、2点の脆弱性に着目した記事をリリースしている。
CVE-2019-19781…CitrixでSSL Gatewayの機能を持った脆弱性。
CVE-2020-0601 …Windowsの暗号化機能である「CryptoAPI(crypt32.dll)」における脆弱性

 

信頼していたVPNが悪用された場合に何が起きるのか(富士通、2020.02)
この記事では、即時のアップデート適用が難しい場合には、IPSや次世代ファイアウォールなどのセキュリティ製品を予めネットワーク内に組み込んでおくことで脆弱性を突く攻撃を検知・防御できる可能性があるという記載があり、そうなんだ?と疑問が注がれる。SSL-VPNの手前にUTMを置く?でも、そのUTMに脆弱性があれば…と考えれば、いたちごっこにすぎない。

 

VPN欠陥つくサイバー攻撃 国内外900社の情報流出(asahi.com、2020.08.25)
この記事では、内閣サイバーセキュリティセンター(NISC)は、8月中旬、匿名でやりとりできる「ダークウェブ」上で、VPNを利用する際のユーザー情報やパスワードなどがやりとりされていることを確認したものの、流出した情報は暗号化されており、実際に不正ログインされた被害は把握していないという。

 

パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる(日経TECH、2020.08.26)
この記事によると、世界全体で900台超の機器に振られたIPアドレスのうち、日本企業46社が運用する57台分が記載されていたという。また、パルスセキュア社によると、リストに含まれた情報はIPアドレスだけで、機器を使うログインユーザーのIDやパスワード情報などの漏洩は確認できていないということだった。

 

これまで、クライアントセキュリティへの標的が多かった(と思う)ため、その対策に重みを置いていた。もはやセキュリティ機器への攻撃は、そう多くはないだろうという推論から。しかし、身近な国内企業においても、脆弱性機器が潜んでいれば狙われるんだ、と改めて気づかされた。国内シェアが高いFortigate製品が標的されなかった点は大きかったものの、いずれ脆弱性がある製品は狙われやすい。早急にファームウエアアップデートを行い、対策が必要だ。


Twitterでフォローしよう

おすすめの記事