Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

パッチ適用で終わらぬ「Pulse Secure」脆弱性 - 数カ月後に侵害されたケースも

公開されているPoCなどの検証を実施したCISAによれば、VPNアプライアンスがドメインに参加している場合、同脆弱性を悪用されることで、機器を通じてリモートよりドメイン管理者やドメインへ参加するユーザーの「Active Directory」におけるIDやパスワードを平文で取得されているおそれがあるという。

パッチの適用から数カ月後に、窃取されたActive Directoryの資格情報が悪用され、実際に侵害を受けたケースを確認している。

具体的には、パッチ適用前に窃取していた認証情報を用いて外部より接続し、組織内部のネットワークを横展開するいわゆる「ラテラルムーブメント」を行いデータを取得。窃取したデータを売却しているケースがあった。

またトロイの木馬などをインストールすることで、バックドアを設置したり、ランサムウェアの拡散を狙った攻撃を確認。そのほか、「LogMeIn」や「TeamViewer」など市販のリモートアクセスツールをインストールするケースも見られたという。

(Security NEXT - 2020/04/20 ) このエントリーをはてなブックマークに追加

PR

関連記事

米英豪、悪用多い脆弱性トップ30件を公表 - 早急に修正を
米政府、中国関与のサイバー攻撃者が悪用する脆弱性のリストを公開 - 国内製品も
2021年に悪用多かった脆弱性トップ15 - 首位は「Log4Shell」、VPNも引き続き標的に
VPN製品「Pulse Connect Secure」にゼロデイ攻撃 - アップデートは5月上旬
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ
露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連
複数製品「SSL VPN機能」を狙う攻撃が発生 - 悪用コード公開で
Pulse Secureの既知VPN脆弱性、ランサムウェアの標的に