VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ

Pulse Secureとなってから販売された機器が搭載する「同9.x」については、パスワードはハッシュ化されて保存されるため、平文のパスワードは含まれていないという。しかしながら、既知の脆弱性を放置すれば、大きな影響を受けることに変わりはない。2019年4月のアップデートはもちろん、適用可能な最新のファームウェアへアップデートを行うことが重要となる。

くわえて脆弱性の修正を行っただけで、すべての問題が解決するわけではない。パッチのリリースから長時間が経過して悪用コードなども出回り、攻撃が発生していることから、修正までの間に侵害を受けている可能性を考慮する必要があるためだ。パッチを適用しても、数カ月経過したあとに侵害を受けたケースも報告されており、セキュリティ機関が注意を呼びかけている。

またVPN製品の脆弱性に関する問題は、Pulse Secureの製品に限った話ではない。特に2019年は複数メーカーのVPN製品において、深刻な脆弱性が次々と明らかとなった。悪用も確認されている。

新型コロナウイルス感染症の影響でテレワークが増加し、VPNが広く活用されている。VPNを利用したリモートアクセスに対し、緊急対応としてアクセス制限を適切に実施しておらず、組織内における多くのリソースへアクセスできるケースもあり、そのような環境でVPN環境が侵害された場合、影響も大きい。

ブランチオフィスやサプライチェーンも含め、利用しているVPN機器を把握し、動作するファームウェアが最新の状態となっているか、サポート切れなど生じていないか、あらためて確認することが求められる。

（Security NEXT - 2020/08/26 ） ツイート

PR

関連記事

「SonicOS」にリモートよりDoS攻撃を受けるおそれ - 修正版を公開
既知脆弱性による「FortiOS」侵害の新手法 - 初期経路封じても被害継続
SonicWall製VPNクライアント「NetExtender」に複数脆弱性
Cisco、セキュリティアドバイザリ3件をあらたに公開
米当局、複数ベンダー製ファイアウォールの脆弱性悪用に注意喚起
SonicWall製FW狙う脆弱性攻撃 - 更新できない場合は「SSL VPN」無効化を
IvantiのVPNやアクセス制御製品に複数の脆弱性 - 「クリティカル」も
SonicWall製VPNクライアントに権限昇格の脆弱性
「FortiOS」に複数脆弱性 - 一部で悪用報告も
「OpenVPN」に深刻な脆弱性 - 2024年6月の更新で修正済み