VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ
メーカーが直接エンドユーザーを特定し、連絡を取れない背景には、リセラーからすべてのエンドユーザー情報を取得できるとは限らない日本特有の「商流の深さ」なども影響している。
くわえて「アプライアンス」に対し、ユーザー側にアップデートを行う意識が希薄で脆弱性情報を収集していなかったり、すでにサポート契約が終了し、いわゆる「塩漬けシステム」として脆弱性対策が行わないまま運用しているケースもある。
パルスセキュアジャパンは、サポート契約が終了している場合であっても、状況に応じて重要なセキュリティパッチを提供していると説明。ときには製品のライフサイクルそのものが終了した機器に対してもバックポートを行い、パッチを提供するケースもあるとし、顧客の脆弱性対策を支援してきたという。
しかし、十数人単位で利用するランチボックスサイズのアプライアンスなど、小規模環境で利用する製品のユーザーをはじめ、今回のように声が届かないユーザーも存在しており、苦心していると話す。
(Security NEXT - 2020/08/26 )
ツイート
関連リンク
PR
関連記事
国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃
「Cisco ASA」「FTD」に複数脆弱性 - ゼロデイ攻撃も発生
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
Palo Alto Networksの「PAN-OS」にゼロデイ脆弱性 - パッチを準備中
「FortiOS」に3件の脆弱性 - アップデートにて修正
SonicWallの「SonicOS」やメールセキュリティ製品に脆弱性
「FortiOS」のキャプティブポータルに深刻な脆弱性 - アップデートを
Cisco、セキュリティアドバイザリ7件を公開 - 「Cisco Secure Client」などの脆弱性に対応
Ivanti製品の侵害、以前のツールでは検証回避のおそれ