Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

パッチ適用で終わらぬ「Pulse Secure」脆弱性 - 数カ月後に侵害されたケースも

公開されているPoCなどの検証を実施したCISAによれば、VPNアプライアンスがドメインに参加している場合、同脆弱性を悪用されることで、機器を通じてリモートよりドメイン管理者やドメインへ参加するユーザーの「Active Directory」におけるIDやパスワードを平文で取得されているおそれがあるという。

パッチの適用から数カ月後に、窃取されたActive Directoryの資格情報が悪用され、実際に侵害を受けたケースを確認している。

具体的には、パッチ適用前に窃取していた認証情報を用いて外部より接続し、組織内部のネットワークを横展開するいわゆる「ラテラルムーブメント」を行いデータを取得。窃取したデータを売却しているケースがあった。

またトロイの木馬などをインストールすることで、バックドアを設置したり、ランサムウェアの拡散を狙った攻撃を確認。そのほか、「LogMeIn」や「TeamViewer」など市販のリモートアクセスツールをインストールするケースも見られたという。

(Security NEXT - 2020/04/20 ) このエントリーをはてなブックマークに追加

PR

関連記事

米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ
露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連
複数製品「SSL VPN機能」を狙う攻撃が発生 - 悪用コード公開で
Pulse Secureの既知VPN脆弱性、ランサムウェアの標的に
「SSL VPN」の脆弱性探索行為、国内でも観測
セキュリティ製品の「VPN」機能に相次いで脆弱性