信頼していたVPNが悪用された場合に何が起きるのか

テレワークの推進などの後押しを受け、VPNを利用する機会が増加しています。社外に持ち出したPCや自宅のPC等を組織内部のネットワークに安全に接続させるための手段として定着しているVPNですが、近年VPNを実現するための装置を狙ったサイバー攻撃が増加しています。

特にPulse Secure社製品の脆弱性（注1）（注2）や、Citrix社製品の脆弱性（注3）（注4）が大きな話題となっており、インターネット上ではこれらの脆弱性に該当する機器の存在を探る通信が大量に発生しているだけではなく、実際に攻撃を受けたことによる被害も多く報告されています。

そういった一連の脆弱性の中でもPulse Secureの「情報漏えいの脆弱性（CVE-2019-11510）」や「コマンドインジェクションの脆弱性（CVE-2019-11539）」などは、実証コードを含む情報が公開されており、これら脆弱性を組み合わせることで遠隔の攻撃者から製品が動作する機器をroot権限にて乗っ取ることも可能という非常に大きなリスクとなっています。

また、これらの脆弱性が悪用されて実際に発生した最近の被害事例として、大手外貨両替サービスを提供するTravelex社がREvil（Sodinokibi）ランサムウェアに大規模感染した件は記憶に新しいところです。
さらに、以前のセキュリティコラム（注5）で紹介したMSPを経由するサプライチェーン攻撃においても信頼すべきVPNが悪用されていたことが分かっています。

これらのことは、セキュリティを向上させることを期待して導入されたものが第三者（攻撃者）によって悪用された場合に何が起きるかというリスクの重大さを改めて我々に突き付けているとも言えます。
本来は信頼すべきVPNというネットワーク区間であるからこそ、それが知らぬうちに悪用された場合のリスクと想定される被害の大きさを正しく評価する必要があると考えます。
このような事態を受け、VPN製品にもセキュリティ修正が含まれる最新のアップデートを適用するための組織ポリシーが不可欠です。
しかしながら、VPN製品へのアップデート適用は、多くの場合クライアントソフトウェアのアップデートなどが伴うことで利用者への負担が大きくなったり、製品ベンダーからのアップデート提供が遅れ、いわゆる0day脆弱性の期間が発生する可能性もないとは言えません。
そのような事情で即時のアップデート適用が難しい場合には、製品ベンダーが提供しているワークアラウンド（緩和策）があればそれを実施したり、IPSや次世代ファイアウォールなどのセキュリティ製品を予めネットワーク内に組み込んでおくことで脆弱性を突く攻撃を検知・防御できる可能性があるため、これらをアップデート適用までの暫定対処として実施いただくことを強く推奨します。

参考

注1:複数のSSL VPN製品の脆弱性に関する注意喚起 [JPCERT/CC]

注2:CVE-2019-11510：Pulse Connect Secureで任意のファイルアクセスを実行するための概念実証 [Tenable]

注3:複数の Citrix 製品の脆弱性（CVE-2019-19781）に関する注意喚起 [JPCERT/CC]

注4:Citrix ADCとCitrix Gatewayにおけるディレクトリトラバーサル脆弱性（CVE-2019-19781）のエクスプロイト状況 [Palo Alto Networks]

注5:「サプライチェーン」を狙った攻撃に要注意