パッチを当てていないVPNの欠陥はハッカーが企業を攻撃し、NSAとNCSCに警告するのに役立つ
NSA(国家安全保障局)およびNCSC(国家サイバーセキュリティセンター)による調査により、特定のVPN(仮想プライベートネットワーク)サービスがAPT ( Advanced Persistent Threat )として知られるサイバー犯罪グループからの攻撃を受けている可能性があることが明らかになりました。ただし、さまざまなハッカーチームが脆弱なVPNの攻撃にも関心を持つ可能性があります。その結果、そのようなサービスを使用する多くの国際企業が危険にさらされる可能性があるため、サイバーセキュリティの専門家は直ちに行動を起こすことを推奨しています。このブログ投稿では、どのアプリケーションが対象であり、VPNを脆弱にするものについて説明します。また、読み続ければ、会社が脆弱なVPNサービスの1つを使用している場合に何をすべきかを知ることができます。議論されたVPNの欠陥について質問がある場合は、このページの最後にあるコメントセクションをご覧ください。
Table of Contents
何がVPNを脆弱にし、どのサービスが攻撃を受ける可能性がありますか?
Pulse Secure 、 Fortinet 、およびPalo Altoは、APTハッカーの標的となるVPNサービスを提供する企業です。また、サイバー犯罪者は、政府、軍事、教育、ビジネス、およびヘルスケアの分野で働いている企業を狙っていることがわかりました。彼らの目標は、たとえば機密情報を取得したり、悪意のあるソフトウェアをドロップするなど、組織のシステムにアクセスすることです。
NCSCによると、ハッカーはリストされたツールにある特定のVPNの欠陥を認識しています。 Pulse Secureが提供するVPNツールには、 CVE02019-11510およびCVE-2019-11539と呼ばれる2つの弱点があり、リモートの攻撃者が管理インターフェースを介して任意のファイルを読み取ったり、コマンドを実行したりする可能性があります。フォーティネットのVPN製品には、 CVE-2018-13379 、 CVE-2018-13382 、およびCVE-2018-13383と呼ばれる3つの欠陥があります。ご覧のとおり、リストされた欠陥は2018年に発見されたため、新しいものではありません。それでも、まだパッチを適用していないユーザーがいる可能性があります。
フォーティネットのVPNの欠陥について知っておくべきもう1つのことは、攻撃者が任意のファイルを読み取り、SSL VPN Webポータルユーザーのパスワードを変更し、ルーターでシェルを実行できるようにする可能性があることです。パロアルトのサービスを使用している人に関しては、このVPNにはATPハッカーが悪用できる欠陥が1つしかないことを知って喜んでいるかもしれません。 CVE-2019-1579と呼ばれ、攻撃者が任意のコードを実行する可能性があります。任意のコードの実行を悪用することにより、攻撃者は標的となるアプリケーションまたはシステムのユーザーが持つ可能性があるのと同じ特権を取得する可能性があります。たとえば、ハッカーがVPNソフトウェアのこのような欠陥を悪用した場合、設定を変更したり、ログを表示したり、ユーザーが実行できる他のすべての操作を実行できる可能性があります。
VPNの欠陥を取り除く方法は?
VPNの欠陥は、他のソフトウェアの脆弱性と同じ方法で解決できます。通常、脆弱性が責任を負う企業に知られると、組織はそれを修正する方法を探します。ソリューションが見つかると、製品のユーザーがダウンロードできるパッチまたはアップデートが表示されます。一部のツールは適用できる脆弱性とパッチについてユーザーに通知しますが、ユーザーは、たとえば会社のWebサイトにアクセスしているときに、自分でそれらについて知る必要がある場合があります。
Pulse Secure、Fortinet、Palo Altoの各製品で見つかった6つのVPNの欠陥はすべて、しばらく前に修正されました。必要なパッチについて通知を受けたが、それらのインストールをスキップすることを選択したか、これらのパッチについてまだ聞いていない場合でも、できるだけ早くそれらを適用することを強くお勧めします。もちろん、将来、デバイスとシステムを安全にしたい場合は、常にすぐにアップデートをインストールする必要があります。
VPNの欠陥が悪用されたかどうかを判断する方法は?
VPNアプリケーションに長い間パッチが適用されていない場合、サイバーセキュリティの専門家は追加の予防策を講じることを推奨します。つまり、VPNの欠陥を修正するパッチを適用するだけでなく、VPNに関連するアクティビティを調査して、違反の証拠を検索する必要があります。以下に、侵害されたVPNの証拠を見つける方法に関するNCSCのヒントを示します。
パルス接続
この会社のVPNサービスを使用する組織は、疑わしいURLへの接続を検索することをお勧めします。そのためには、VPNを介さずにWebインターフェースに対してHTTPS要求を直接行うことを専門家が推奨します。そのようなアクティビティがイベントログに表示される場合は、疑問符を含み/ dana / html5acc / guacamoleで終わるURLアドレスの検索ログを確認することをお勧めします。また、専門家は/dana-admin/diag/diag.cgiへのリクエストを検索することをお勧めします。そのようなデータが見つかり、それがCVE02019-11510およびCVE-2019-11539の脆弱性のパッチがインストールされる前の日付である場合、システムが侵害される可能性があります。
軽減する
CVE-2018から13379弱点を悪用される可能性があります、ハッカーがsslvpn_websessionと呼ばれるファイルをダウンロードすることができると思われます。サイバーセキュリティの専門家は、すべてのアクティブユーザーのパスワードとユーザー名を含めるべきであり、ファイルのサイズは約200 KBである必要があると言います。ハッカーが会社のVPNの欠陥を悪用した可能性があるかどうかを確認する別の方法は、ファイアウォールログまたはNetflowログを記録するようにプログラムが構成されている場合、調査することです。より正確には、専門家は、 SSL VPN Webインターフェイスポートからクライアントへの200.00〜250.000バイトのTCPセッションを探すことをお勧めします。これにより、悪用の証拠を提供できます。
パロアルト
この会社のパッチを適用していないVPNツールを使用した可能性のある組織は、ソフトウェアログでクラッシュを探すことをお勧めします。どうやら、このVPNを悪用する試みの失敗はログに表示される可能性があり、システムが侵害される可能性があるかどうかを判断するのに役立つ唯一の方法です。
VPNの欠陥が悪用されたことが判明した場合はどうすればよいですか?
サイバーセキュリティの専門家は、リスクのあるログイン資格情報を取り消し、認証資格情報をリセットすることをお勧めします。次に、侵害されたアプリケーションの構成オプションを確認し、見つかった場合は復元する必要がある不正な変更を検索することを被害者に通知します。追加の予防策として、企業はTwo-Factor Authenticationを有効にし、使用していない、または必要のないVPN上のポートまたは機能を無効にすることができます。もちろん、さらなる攻撃を防ぐために、ネットワークトラフィックとVNPログで不審なアクティビティを監視し続けることも賢明です。最後の手段として、サイバーセキュリティの専門家は、企業が侵害を疑った場合、侵害されたデバイスを拭くよう提案しますが、ハッキングの証拠を見つけることができず、チャンスを取りたくないです。
全体として、VPNの使用は、企業がサイバー犯罪者からシステムを保護するのに引き続き役立ちます。ただし、VPNが脆弱になるのは、VPNの欠陥がないことを確認することです。したがって、サイバーセキュリティの専門家は、新しいパッチとアップデートを定期的に確認することをお勧めします。インストールが早ければ早いほど、ハッカーがパッチを当てていない弱点を悪用できる可能性は低くなります。会社で使用しているVPNサービスが常に最新であることを確認する最も簡単な方法は、VPNやその他のソフトウェアがパッチを適用し、適時に更新されることを保証するITチームを採用することです。エンタープライズVPNの欠陥の詳細については、 こちらを読むことをお勧めします 。