Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Pulse SecureのVPN製品が狙われている

考えてみた。 海外事件

Pulse Secure製品の脆弱性に対する記事が出ていました。と言っても、昨年発表された脆弱性なのですが、日本での影響が懸念されます

www.zdnet.com

 

ハッカーは本日、900を超えるPulse Secure VPNエンタープライズサーバーのIPアドレスとともに、プレーンテキストのユーザー名とパスワードのリストを公開しました。

脅威インテリジェンス会社KELAの助けを借りてこのリストのコピーを入手したZDNet は、サイバーセキュリティコミュニティの複数のソースでその信頼性を検証しました。

レビューによると、リストには以下が含まれます:

・Pulse Secure VPNサーバーのIPアドレス
・Pulse Secure VPNサーバーのファームウェアバージョン
・各サーバーのSSHキー
・すべてのローカルユーザーとそのパスワードハッシュのリスト
・管理者アカウントの詳細
・最後のVPNログイン(ユーザー名とクリアテキストパスワードを含む)
VPNセッションCookie

ZDNet記事より引用)※機械翻訳

 

キタきつねの所感

ロシアのハッカーズサイトで、900以上のPulse SecureのVPNサーバーの認証情報のリストが共有されているのが発見されました。リストの内容分析を行ったZDNetによるとコンパイルされた日付が「2020/6/24~2020/7/8」となっており、このリストが「現役」である可能性が高い事を示唆しています。

 

vpn-folder.png

ZDNet記事より引用

 

これの何が問題なのか?よくある事ではないのか?と思われる方もいるかと思いますが、VPNサーバーが侵害されて内部に侵入されると、企業や組織には非常に深刻なインシデントをもたらす可能性が高くなります。

このリストには高確率で「日本企業/組織」の情報が含まれているので、現在進行形、あるいは近い将来に日本企業/組織からインシデントが発生する可能性が懸念されるのです。

 

リストを分析したBadPacketsの研究者によると、このリスト(913の公開IP)にあるサーバーの74%に当たる677のIPが、CVE-2019-11510に対して脆弱性である事を検出した」と言っています。

 

これは、多くの企業がPulse Secureサーバーにパッチ適用をしていない事を示唆しています。

 

2019年8月のBadPackets社が、BinaryEdgeを使用した調査では、CVE-2019-11510の脆弱性を持つホストについては、以下の様な結果であったと報告しています。

CVE-2019-11510

2019年8月、BadPacketsの研究者は、CVE-2019-11510に対して脆弱なPulse Secure VPNエンドポイントの数を分析し ました。オンラインスキャンサービスのBinaryEdgeを使用して、オンラインで公開 された41,850個のPulse Secure VPNエンドポイントのうち、14,528個がCVE-2019-11510に対して脆弱であることがわかりました。

脆弱なホストのほとんどは 米国(5,010)で、日本(1,511)、英国(830)、ドイツ(789)がそれに続きました。

SecurityAffairs記事より引用)※機械翻訳

 

昨年8月に全世界で検出された、脆弱性のあるPulse Secure VPNエンドポイントの比率で考えると、単純試算では900を超える今回のリストの内の10%相当(90サーバー)が日本のものである可能性があります。

 

因みにJPCERTは昨年9月に注意喚起を出しています。もし半年以上Pulse Secure製品にパッチを適用してない企業/組織があるとすれば、早急に点検する事が強く推奨されます

www.jpcert.or.jp

 

既に実証コードが公表されている事を考えると、このリストユーザーに対してハッカーが攻撃してくる可能性が高いので、早急にソフトウェアの最新化(パッチ当て)と、パスワード変更をする必要があります。

 

ZDnet記事では、既にリストが複数のランサムオペレーターに共有されている(=ランサム攻撃リストと化している)事が書かれています。

さらに悪いことに、リストは複数のランサムウェアギャングが頻繁にアクセスするハッカーフォーラムで共有されています。たとえば、REvil(Sodinokibi)、NetWalker、Lockbit、Avaddon、Makop、Exorcistランサムウェアのギャングは同じフォーラムにスレッドを持ち、それを使用してメンバー(開発者)とアフィリエイト(顧客)を募集します。

これらのギャングの多くは、Pulse Secure VPNサーバーなどのネットワークエッジデバイスを利用して企業ネットワークに侵入し、ランサムウェアペイロードを展開して巨大な身代金要求を要求します

このリストの無料ダウンロードとしての公開は、このフォーラムでアクティブなランサムウェアギャングの一部がリストを使用する可能性が非常に高いため、過去1年間にPulse Secure VPNにパッチを適用できなかった企業にとって、文字通りDEFCON 1の危険レベルです。将来の攻撃のために

ZDnet記事より引用)※機械翻訳

 

テレワークが常態化しつつある中、VPN装置はテレワークを支える重要なエンドポイントとなっています。Pulse Secure製品を使う日本の多くの企業/組織が既にパッチ当てをしていると信じたい所ですが、相当数の企業がまだパッチを当てていない可能性の方が高い気がします。

 

ランサムの被害を受けて、ある日突然社内が大混乱になる事の無い様に、Pulse Secure製品だけでなく、他のVPN製品利用のユーザーでも「高リスク脆弱性が狙われている」という意認識の元で、企業/組織はセキュリティ対応を進めていくべきかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ランサムウェアのイラスト(パソコン)

 

更新履歴

  • 2020年8月6日 AM(予約投稿)