VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ

Pulse Secureとなってから販売された機器が搭載する「同9.x」については、パスワードはハッシュ化されて保存されるため、平文のパスワードは含まれていないという。しかしながら、既知の脆弱性を放置すれば、大きな影響を受けることに変わりはない。2019年4月のアップデートはもちろん、適用可能な最新のファームウェアへアップデートを行うことが重要となる。

くわえて脆弱性の修正を行っただけで、すべての問題が解決するわけではない。パッチのリリースから長時間が経過して悪用コードなども出回り、攻撃が発生していることから、修正までの間に侵害を受けている可能性を考慮する必要があるためだ。パッチを適用しても、数カ月経過したあとに侵害を受けたケースも報告されており、セキュリティ機関が注意を呼びかけている。

またVPN製品の脆弱性に関する問題は、Pulse Secureの製品に限った話ではない。特に2019年は複数メーカーのVPN製品において、深刻な脆弱性が次々と明らかとなった。悪用も確認されている。

新型コロナウイルス感染症の影響でテレワークが増加し、VPNが広く活用されている。VPNを利用したリモートアクセスに対し、緊急対応としてアクセス制限を適切に実施しておらず、組織内における多くのリソースへアクセスできるケースもあり、そのような環境でVPN環境が侵害された場合、影響も大きい。

ブランチオフィスやサプライチェーンも含め、利用しているVPN機器を把握し、動作するファームウェアが最新の状態となっているか、サポート切れなど生じていないか、あらためて確認することが求められる。

（Security NEXT - 2020/08/26 ） ツイート

PR

関連記事

米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
Fortinet「FortiOS」既知脆弱性の悪用を確認 - 認証回避のおそれ
WatchGuard製UTM「Firebox」のVPN脆弱性悪用に注意喚起 - 米当局
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
SonicWallのリモートアクセス製品「SMA1000」にゼロデイ脆弱性
SonicWall製ファイアウォールにDoS脆弱性 - SSL VPN有効時に影響
米当局、「WatchGuard Firebox」など脆弱性3件の悪用に注意喚起
WatchGuardのVPNクライアントに脆弱性 - Windows版に影響
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を
「Cisco ASA/FTD」脆弱性がDoS攻撃の標的に - 修正を再度呼びかけ