VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ

Pulse Secureとなってから販売された機器が搭載する「同9.x」については、パスワードはハッシュ化されて保存されるため、平文のパスワードは含まれていないという。しかしながら、既知の脆弱性を放置すれば、大きな影響を受けることに変わりはない。2019年4月のアップデートはもちろん、適用可能な最新のファームウェアへアップデートを行うことが重要となる。

くわえて脆弱性の修正を行っただけで、すべての問題が解決するわけではない。パッチのリリースから長時間が経過して悪用コードなども出回り、攻撃が発生していることから、修正までの間に侵害を受けている可能性を考慮する必要があるためだ。パッチを適用しても、数カ月経過したあとに侵害を受けたケースも報告されており、セキュリティ機関が注意を呼びかけている。

またVPN製品の脆弱性に関する問題は、Pulse Secureの製品に限った話ではない。特に2019年は複数メーカーのVPN製品において、深刻な脆弱性が次々と明らかとなった。悪用も確認されている。

新型コロナウイルス感染症の影響でテレワークが増加し、VPNが広く活用されている。VPNを利用したリモートアクセスに対し、緊急対応としてアクセス制限を適切に実施しておらず、組織内における多くのリソースへアクセスできるケースもあり、そのような環境でVPN環境が侵害された場合、影響も大きい。

ブランチオフィスやサプライチェーンも含め、利用しているVPN機器を把握し、動作するファームウェアが最新の状態となっているか、サポート切れなど生じていないか、あらためて確認することが求められる。

（Security NEXT - 2020/08/26 ） ツイート

PR

関連記事

「FortiOS」に複数脆弱性 - 権限の昇格やセッション管理不備など修正
SonicWall「SMA100」シリーズに脆弱性 - 初期化やファイル書き込みのおそれ
SonicWall「SMA100」の既知脆弱性狙う攻撃 - 侵害状況の確認を
SonicWall製ファイアウォールに脆弱性 - 認証回避や権限昇格のおそれ
SonicWall製FW狙う脆弱性攻撃 - 更新できない場合は「SSL VPN」無効化を
SonicWall製VPNクライアント「NetExtender」に複数脆弱性
「SonicOS」にリモートよりDoS攻撃を受けるおそれ - 修正版を公開
既知脆弱性による「FortiOS」侵害の新手法 - 初期経路封じても被害継続
Cisco、セキュリティアドバイザリ3件をあらたに公開
米当局、複数ベンダー製ファイアウォールの脆弱性悪用に注意喚起