Benchmarks Brawte nfaq 0 Comments

データ保護にPulse Secure VPNを使っているのですね?パッチを当てた方がいいですよ。さもないとランサムウェアの脅威にさらされることになります。

Table of Contents

データ保護にPulse Secure VPNを使っているのですね?パッチを当てた方がいいですよ。さもないとランサムウェアの脅威にさらされることになります。

ハッカーは、パッチが適用されていない企業向け VPN 設定、具体的には Pulse Secure のコードに存在する以前から知られているバグを利用して、ランサムウェアなどの悪質なプログラムを拡散しています。

英国の情報セキュリティ専門家ケビン・ボーモント氏は、パルスセキュアのゼロトラスト・リモートアクセスVPNソフトウェアに存在する重大な欠陥が、マルウェア攻撃を挿入するための入り口として悪意のある人物に利用されていると述べている。

問題の脆弱性(CVE-2019-11510)は、4月にアウトオブバンドアップデートで修正されたバグの一つです。この脆弱性は、リモートワーカーやBYOD(Bring Your Own Device)ワーカー向けに企業向けに販売されているVPNプログラム「Pulse Connect Secure」に存在します。このバグを悪用されると、認証なしでネットワークからプレーンテキストのパスワードやその他の機密情報を抜き出すことが可能です。

「この脆弱性は非常に深刻です。有効なユーザー名とパスワードを持たない人物が、デバイスが保護するはずの企業ネットワークにリモートで接続し、多要素認証制御をオフにし、ログやキャッシュされたパスワードをプレーンテキストでリモートで閲覧(アクティブディレクトリアカウントのパスワードを含む)できるようになります」とボーモント氏は説明した。

修正が公開されてから数か月が経ち、ボーモントは複数のランサムウェア感染を調査し、Pulse Secure の脆弱性が、ファイルを暗号化する Sodinokibi マルウェアを拡散するハッカーにとってネットワークへの侵入口であったことを確認しました。

「どちらのケースでも、組織はパッチを適用していないPulse Secureシステムを使用しており、フットプリントは同じでした」とボーモント氏は説明した。「ネットワークへのアクセスが取得され、ドメイン管理者が取得され、ネットワーク内を移動するためにVNCが使用されました(実際には、VNCはpsexec経由でjava.exeとしてインストールされていました)。その後、エンドポイントセキュリティツールが無効化され、Sodinokibiがpsexec経由ですべてのシステムにプッシュされました。」

The Register は、この件に関して Pulse Secure の立場を問いただしたところ、同社は次のような声明を発表しました。

Pulse Secureは2019年4月24日に修正パッチを公開しており、Pulse Connect Secure(VPN)に直ちに適用する必要があります。CVE2019-1150の脆弱性は極めて深刻です。既にこのパッチを適用済みのお客様は、このマルウェアによる攻撃の影響を受けません。既にお知らせしたとおり、すべてのお客様に修正パッチの適用を強くお勧めします」と同社は述べています。

「当社は、当初の公開セキュリティ アドバイザリ SA44101 の発行に続き、4 月の当日から、電子メール、製品アラート、コミュニティ サイト、パートナー ポータル、およびカスタマー サポート Web サイトを通じて、お客様とサービス プロバイダーにパッチの可用性と必要性​​についてお知らせしてきました。

VPN

大学の研究者によると、iOS、Android、Linuxディストリビューション、macOS、FreeBSD、OpenBSDにはVPNを突破する巧妙なバグが潜んでいるという。

続きを読む

それ以来、当社のカスタマーサクセスマネージャーもお客様と直接連絡を取り、協力してきました。さらに、Pulse Secureのサポートエンジニアは、パッチ適用のサポートが必要なお客様を支援するため、週末や祝日も含め24時間365日体制で対応しています。また、有効な保守契約を締結していないお客様にも、これらの脆弱性に対するパッチ適用のサポートを提供しました。

問題の一因は、組織が脆弱なPulse Secure VPNを運用していることに気づいていないことにあるかもしれません。今週初め、Bad Packets ReportのTroy Mursch氏は自身のウェブサイトの最新情報として脆弱性スキャンを実施し、世界中で3,826台のPulse Secure VPNサーバーが依然として脆弱であることが判明しました。

一部の管理者が指摘しているように、大規模な企業では、このようなボックスを追跡するのは困難であり、タイムリーにパッチを適用することは言うまでもありません。

実際、マルウェア感染によりオフラインとなった外貨両替サービス「トラベレックス」には、保護されていないPulse Secureサーバーが7台存在し、ボーモント氏が観察した他の攻撃に関与したのと同じSodikinibiランサムウェア集団の攻撃を受けたと述べている。マーシュ氏は9月にトラベレックスに対し、これらの脆弱なサーバーについて警告しようとしたと述べた。®

Benchmarks

Smart Recommendations

Discover More