SSL/VPN脆弱性ふたたび・・(2024年2月6日更新)
狙われるSSL/VPNの脆弱性
SSL/VPNは、企業等の組織が、その内部にあるサービスやデータにWeb(SSL/TLS)を経由して、安全にアクセスするためのシステムです。VPNには、初期の頃から利用されてきた、IPSec/VPNもありますが、Web系のサービスへのリモートアクセスに特化したアプリケーションレイヤでの仕組みであるSSL/VPNは、導入が手軽で、一般にWebブラウザからアクセスができるため、後に広く普及しました。最近のシステムでは、Webブラウザによる認証を経て、IPSecによるネットワークレイヤの接続や、SSL(TLS)トンネルを介して、ネットワークレベルでの接続等もサポートされるようになっています。
しかし、こうしたシステムも、「脆弱性」と無縁ではありません。2019年には、複数の製品で、認証に使われるアカウント情報などが漏洩する脆弱性が発覚し、それが悪用された結果、多くの企業・組織が被害を受けています。コロナ下でのテレワークが広がっている現在、会社のサーバへのアクセスに、こうした仕組みを利用しているケースは非常に多く、攻撃者も、こうした仕組みにフォーカスした攻撃を行う傾向が強くなっています。一旦、脆弱性が発見されれば、それらを狙った攻撃発生までの猶予は、これまで以上に短くなっており、ただちに脆弱性を修正しないと、重大な侵害につながる危険が極めて大きくなります。
被害は情報漏洩だけにとどまりません。攻撃によって、リモートアクセスに障害が発生すれば、業務の停止等様々な影響が出てしまいます。今回発表されたPulse Connect Secure (Pulse Secure社のSSL/VPNシステム)の脆弱性も、様々なリスクをもたらします。
2019年の脆弱性の場合、公表が4月であったにもかかわらず、秋以降、年末、年明けに至っても、被害が発生し続けました。被害に遭った多くの組織が、脆弱性対策がとられたバージョンのソフトウエア(ファームウエア)をインストールしていなかった実態が明らかになっています。また、更新前に攻撃を受け、認証関連情報が漏洩していたため、更新後に不正アクセスを受けたケースもありました。PCやサーバなどとは異なり、どちらかと言えば「ネットワーク機器」に分類されがちな、こうしたリモートアクセス用機器は、これまでファームウエア更新をあまり考慮しない運用が行われてきました。どちらかと言えば、「必要ない限り出来るだけ更新しない」考え方の運用が多かったと言えます。しかし、ネットワーク機器といえども、中身はコンピュータであり、ソフトウエア(ファームウエア)で動作している以上、脆弱性は少なからず発覚します。攻撃者も、こうした機器の脆弱性対応が手薄なことを知っており、そこに狙いを定めているわけです。今回、4月20日に公表された脆弱性についても、様々な悪用が懸念されます。5月3日には修正版のファームウエアが公開されており、Pulse Connect Secureを利用している組織は、ただちに更新を行う必要があります。
しかし、こうしたシステムも、「脆弱性」と無縁ではありません。2019年には、複数の製品で、認証に使われるアカウント情報などが漏洩する脆弱性が発覚し、それが悪用された結果、多くの企業・組織が被害を受けています。コロナ下でのテレワークが広がっている現在、会社のサーバへのアクセスに、こうした仕組みを利用しているケースは非常に多く、攻撃者も、こうした仕組みにフォーカスした攻撃を行う傾向が強くなっています。一旦、脆弱性が発見されれば、それらを狙った攻撃発生までの猶予は、これまで以上に短くなっており、ただちに脆弱性を修正しないと、重大な侵害につながる危険が極めて大きくなります。
被害は情報漏洩だけにとどまりません。攻撃によって、リモートアクセスに障害が発生すれば、業務の停止等様々な影響が出てしまいます。今回発表されたPulse Connect Secure (Pulse Secure社のSSL/VPNシステム)の脆弱性も、様々なリスクをもたらします。
2019年の脆弱性の場合、公表が4月であったにもかかわらず、秋以降、年末、年明けに至っても、被害が発生し続けました。被害に遭った多くの組織が、脆弱性対策がとられたバージョンのソフトウエア(ファームウエア)をインストールしていなかった実態が明らかになっています。また、更新前に攻撃を受け、認証関連情報が漏洩していたため、更新後に不正アクセスを受けたケースもありました。PCやサーバなどとは異なり、どちらかと言えば「ネットワーク機器」に分類されがちな、こうしたリモートアクセス用機器は、これまでファームウエア更新をあまり考慮しない運用が行われてきました。どちらかと言えば、「必要ない限り出来るだけ更新しない」考え方の運用が多かったと言えます。しかし、ネットワーク機器といえども、中身はコンピュータであり、ソフトウエア(ファームウエア)で動作している以上、脆弱性は少なからず発覚します。攻撃者も、こうした機器の脆弱性対応が手薄なことを知っており、そこに狙いを定めているわけです。今回、4月20日に公表された脆弱性についても、様々な悪用が懸念されます。5月3日には修正版のファームウエアが公開されており、Pulse Connect Secureを利用している組織は、ただちに更新を行う必要があります。
Pulse Connect Secureの脆弱性(4月20日発表)
この脆弱性についてはJPCERT/CCから、以下のアドバイザリが公開されています。
https://www.jpcert.or.jp/at/2021/at210019.html
メーカーであるPulse Secure社からは、以下のアドバイザリ(英文)が公開されています。
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
これらのアドバイザリによれば、今回の更新には4種類の脆弱性への対応が含まれます。
https://www.jpcert.or.jp/at/2021/at210019.html
メーカーであるPulse Secure社からは、以下のアドバイザリ(英文)が公開されています。
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
これらのアドバイザリによれば、今回の更新には4種類の脆弱性への対応が含まれます。
これらのうち3種類は、CVSSスコアが9以上の「緊急」扱いとなっており、既に攻撃も確認されていることから、放置すれば被害を受ける可能性が極めて高いと言えます。最悪の場合、機器を乗っ取られ、様々なセキュリティ機能を無効化されたり、社内システムに対して不正にアクセスされる可能性もあり、また、ログインページを改ざんされるなどした場合、ユーザにマルウエア感染を発生させる可能性など様々な被害が想定されます。従って、この修正プログラムの適用は、できる限り早急に実施しなければいけません。
また、既に攻撃が確認されていることから、JPCERT/CCでは、もし、攻撃を受けた可能性があれば、システムが改ざんされていないかどうかを確認するよう推奨しています。改ざんを確認するためのツールは、メーカーから提供されているので、上の、JPCERT/CCアドバイザリーに記載されたリンクから、入手し、実行することを推奨します。
また、既に攻撃が確認されていることから、JPCERT/CCでは、もし、攻撃を受けた可能性があれば、システムが改ざんされていないかどうかを確認するよう推奨しています。改ざんを確認するためのツールは、メーカーから提供されているので、上の、JPCERT/CCアドバイザリーに記載されたリンクから、入手し、実行することを推奨します。
テレワーク時代を見据えて
コロナ下ではもちろんのこと、これが終息した後も、整備されたリモートアクセス環境を利用して、テレワーク推進の流れは止まらないでしょう。そのような中で、生命線とも言える、こうしたアクセス機器の運用、保守は、一層重要度が高まります。止めないことはもちろん、こうした脆弱性が発覚した場合に、どのようにしてタイムリーなメンテナンス作業を行うかといった点も、きちんと考慮し、運用手順に組み込んでおく必要があるのです。もちろん、脆弱性に関する情報をいち早く入手する手段も確保しておく必要があります。IT部門は、JPCERT/CCからのアドバイザリやJVNサイトといった仕組みを活用して、常に情報を収集しておく必要があります。デジタルトランスフォーメーション(DX)の時代、それに合わせて、セキュリティも考慮した運用のトランスフォーメーションも必要になる点を忘れないでください。
イスラエル発のASMサービス
追記
【2024年1月31日追記】
2024年1月10日 Ivanti社は、Ivanti Connect Secure及び Ivanti Policy Secureについて、侵害可能な深刻な脆弱性の存在を発表しています。(旧Pulse secure製品はIvanti社に移り、名称が変わっています)JPCERT/CCを含め世界の主要なセキュリティ機関からアドバイザリが出されており、既に複数の攻撃事例の報告があります。
https://www.jpcert.or.jp/at/2024/at240002.html
この脆弱性を放置した場合、過去の事例同様に侵害を受け、ランサムウエアの埋め込みや情報漏洩などが生じる可能性があるため、至急の対応が必要です。以下、Ivanti社の情報も参照してください。
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
【2024年2月1日追記】 2024年1月31日(現地時間)、Ivantiは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)を含め、本脆弱性を修正するパッチを公開しました。一部の製品のバージョン向けで、残りのバージョン向けには順次提供するとのことです。詳細はIvantiが提供する最新の情報をご確認ください。
【2024年2月1日追記】 2024年1月31日(現地時間)、Mandiantは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)などを悪用する攻撃に関するブログを
公開しました。認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)向けの既知の緩和策を回避する限定的な攻撃などを確認したとし、観測した攻撃や改ざんされたファイルの内容などを解説しています。
Mandiant
Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation
https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation
※2月1日追記分はJPCERT/CCより引用
https://www.jpcert.or.jp/at/2024/at240002.html
https://www.jpcert.or.jp/at/2024/at240002.html
この脆弱性を放置した場合、過去の事例同様に侵害を受け、ランサムウエアの埋め込みや情報漏洩などが生じる可能性があるため、至急の対応が必要です。以下、Ivanti社の情報も参照してください。
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
【2024年2月1日追記】 2024年1月31日(現地時間)、Ivantiは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)を含め、本脆弱性を修正するパッチを公開しました。一部の製品のバージョン向けで、残りのバージョン向けには順次提供するとのことです。詳細はIvantiが提供する最新の情報をご確認ください。
【2024年2月1日追記】 2024年1月31日(現地時間)、Mandiantは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)などを悪用する攻撃に関するブログを
公開しました。認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)向けの既知の緩和策を回避する限定的な攻撃などを確認したとし、観測した攻撃や改ざんされたファイルの内容などを解説しています。
Mandiant
Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation
https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation
※2月1日追記分はJPCERT/CCより引用
https://www.jpcert.or.jp/at/2024/at240002.html
