Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ

8月に入り、組織内部ネットワークへリモートアクセスを行うため利用されるVPN製品の既知の脆弱性を突き、取得したと見られる認証情報約900件がインターネット上に出回っていることが明らかとなった。修正パッチは1年以上前にリリースされており、メーカーやセキュリティ機関では繰り返し注意を喚起してきたが、未対応の機器がターゲットになった。

今回流出が確認されたのは、IPアドレスやパスワードをはじめとするデータ。VPNサーバである「Pulse Connect Secure(PCS)」より窃取されたと見られる。8月初旬に海外一部メディアが攻撃者などが出入りするインターネットの闇フォーラム上でやり取りされていたと報じ、問題が明らかとなった。Pulse Secureでは、2019年4月に深刻な脆弱性を修正しており、一部脆弱性が悪用されたものと見られる。

問題の脆弱性は、2019年3月にセキュリティ研究者より同社が報告を受けたもので、調整を経て翌4月にアドバイザリを公表。サードパーティに起因する脆弱性を含め、アップデートではあわせて15件の脆弱性を解消した。

認証なく同製品に対して任意のファイルへアクセスが可能となる脆弱性「CVE-2019-11510」など、共通脆弱性評価システム「CVSSv3」のベーススコアが最高値である「10」とされる深刻な脆弱性が含まれる。その後、脆弱性の悪用コードも流通しており、パッチが未適用の端末からデータが窃取され、流通したものと見られる。

(Security NEXT - 2020/08/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

一部SonicWall製ファイアウォールの「SSL VPN機能」に脆弱性 - 認証バイパスのおそれ
Palo Altoの「PAN-OS」に5件の脆弱性 - アップデートにて修正
米当局、「Cisco ASA」など悪用が確認された脆弱性4件について注意喚起
米当局、「FortiOS」や「Roundcube」に対する脆弱性攻撃に注意喚起
「FortiOS」に複数の深刻な脆弱性 - すでに一部は悪用か
Ivanti脆弱性、PoC公開で攻撃増 - 痕跡消去の可能性も踏まえ調査を
Ivanti製VPN製品のゼロデイ脆弱性、PoCが公開 - 復旧時は再発防ぐ対応を
「NetScaler ADC/Gateway」に2件のゼロデイ脆弱性 - アップデートを
Ivanti製VPNに対する脆弱性攻撃の被害が拡大 - 少なくとも1700件の侵害
「Adobe ColdFusion」の脆弱性、米行政機関で2件の侵害被害