ドメイン・ベースのセキュリティを中断させるクライアントレスSSL VPN製品 2009年12月7日
ドメイン・ベースのセキュリティを中断させるクライアントレスSSL VPNの製品
危険度:中
2009年12月7日
【概要】
【詳細】
SSL VPN製品はメールやファイル共有、CRMツールなど、信用できる内部企業データやリソースへの安全なリモートアクセスをユーザに提供することができる。大方、SSL VPN製品が安全なアクセスを提供する方法は2種類ある。
さらに、クライアントレスSSL VPNソリューションが使用するURLリライティングの技術は、ウェブ・ブラウザが実施する同一生成元ポリシーを中止させる。つまり、同一生成元ポリシーはhtmlオブジェクトやリソース、クッキーなど他のサイトやドメインに属するものにアクセスできないように、サイトのスクリプトやドメインを阻止するように作られているが、2つのURLを1つにすることでSSL VPN URLリライティングはブラウザの同一生成元保護機能を迂回することができる。URLが変更されたサイトやドメインは、クライアントレス SSL VPNサーバに属するクッキーや他のHTMLオブジェクトにアクセスできるようになる。
細工したサイトにユーザを誘導すると、攻撃者はユーザのSSL VPNセッション・トークンを取り戻しユーザのクライアントレスSSL VPNソリューションを通じてアクセスしたサイトに属するクッキーや、その他のHTMLコンテンツを読み取ったり変更したりする可能性がある。つまり攻撃者はユーザのSSL VPN接続をハイジャックし、暗号化された接続でのユーザの動きを記録することができる。
かなり深刻に聞こえるこの欠陥だが、実社会においてはそのリスクを大幅に緩和させる要因もある。例えば、攻撃者がこの攻撃を成功させるには、ユーザがクライアントレスSSL VPNソリューションを使用していることを知っていなければならない他、攻撃者のサイトに行く前に、ユーザがユーザのSSL VPNソリューションで認証していなければならない。さらに、クライアントレスSSL VPNソリューション全てがあらゆるURLを任意に書き換えるわけでもない。攻撃者が支配下でSSLソリューションに外部サイトを書き換えさせることは困難である。このため、クライアントレス SSL VPNソリューションがトラステッド・ドメインでURLリライティングを制限している場合、この欠陥のリスクは大きく低下する。
【対策】
これはクライアントレスSSL VPN製品が使うURLリライティング(もしくはマングリング)技術のデザインに内在する欠陥である。この問題に対する完全な解決策はないが、特定のSSL VPNインプリメンテーションは攻撃者が実社会でこの欠陥を利用するリスクを緩和することができる。この脆弱性のリスクを低下させ、この種の攻撃を受けにくくするためにクライアントレスSSL VPNができる3つの回避策をCERTはすすめている。
【回避方法】
使用しているクライアントレスSSL VPN製品のベンダが回避策を実施しているか、また、問題のリスク緩和させるために取っている対策について知るには、使用しているSSL VPN製品のベンダに連絡を取ることをすすめる。CERTのVulnerability Note にある"Systems Affected" (影響を受けているシステム)の欄には、問題を受けている可能性のベンダ・リストが掲載されているので、それを参照にすること。ベンダによる回答を閲覧できるリンクもそのリストに掲載されている。
WatchGuard SSL VPNソリューションへの影響については次を参照。
【WatchGuard XTM およびUTM アプライアンス(Firebox)を使用している場合】
WatchGuard UTMおよびXTMアプライアンスがサポートしているのはクライアント・ベースSSL VPN接続のみであるため、脆弱性の影響はない。これらはVPNトンネル作成において上述のURLリライティング技術を使用していないため、クライアント・ベースSSL VPNソリューションは脆弱性の影響を受けていない。
【WatchGuard SSL 100アプライアンスを使用している場合】
WatchGuard SSL 100アプライアンスは、クライアント・ベースおよびクライアントレスSSL VPN接続のどちらもサポートしている:
【ステータス】
これはSSL VPNのURLリライティングのデザインに内在するセキュリティ欠陥であるため、技術的に修正することはできない。しかしWatchGuardのSSL 100など、特定のクライアントレスSSL VPNソリューションには影響を受けるチャンスを大幅に低下させるための回避策がある。
【参考資料】
詳細について知りたい場合の連絡先
この問題に関する詳細情報やWatchGuard製品へのセキュリティ懸念などに関しては、下記まで日本語または英語でお問合せください:
コーリー・ナクライナー
シニア・ネットワークセキュリティ・ストラテジスト
ウォッチガード・テクノロジーズ
http://www.watchguard.com
corey.nachreiner@watchguard.com
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:中
2009年12月7日
【概要】
- 対象:
様々なベンダーによるクライアントレスSSL VPN製品
(WatchGuard XTM 及びUTM アプライアンスは対象外。WatchGuard SSL 100アプライアンスに対する損害の可能性は限られている。詳細については下記を参照)
- 攻撃方法:
クライアントレスSSL VPNのユーザを細工したウェブサイトに誘導する
- 影響:
最悪の場合、攻撃者はユーザのVPNセッション・トークンを盗みユーザのSSL VPN セッションをハイジャックする可能性がある
- 対策:
これはClientless SSL VPNソリューションが使うURLリライティング(もしくはマングリング)技術のデザインに内在する欠陥である。この問題に対する完全な解決策はないが、特定のインプリメンテーションを選択することで攻撃者が実社会において欠陥を利用するリスクは緩和できる。
【詳細】
SSL VPN製品はメールやファイル共有、CRMツールなど、信用できる内部企業データやリソースへの安全なリモートアクセスをユーザに提供することができる。大方、SSL VPN製品が安全なアクセスを提供する方法は2種類ある。
- クライアントベースの方法:
IPSec クライアント・ベースのソリューションのように作用する。 - クライアントレスの方法:
URLリライティング(もしくはマングリング)という技術を使いユーザのリソースに安全なアクセスを提供しようとする。クライアントレス・ソリューションはユーザのウェブ・ブラウザ全体に渡り作用する。
さらに、クライアントレスSSL VPNソリューションが使用するURLリライティングの技術は、ウェブ・ブラウザが実施する同一生成元ポリシーを中止させる。つまり、同一生成元ポリシーはhtmlオブジェクトやリソース、クッキーなど他のサイトやドメインに属するものにアクセスできないように、サイトのスクリプトやドメインを阻止するように作られているが、2つのURLを1つにすることでSSL VPN URLリライティングはブラウザの同一生成元保護機能を迂回することができる。URLが変更されたサイトやドメインは、クライアントレス SSL VPNサーバに属するクッキーや他のHTMLオブジェクトにアクセスできるようになる。
細工したサイトにユーザを誘導すると、攻撃者はユーザのSSL VPNセッション・トークンを取り戻しユーザのクライアントレスSSL VPNソリューションを通じてアクセスしたサイトに属するクッキーや、その他のHTMLコンテンツを読み取ったり変更したりする可能性がある。つまり攻撃者はユーザのSSL VPN接続をハイジャックし、暗号化された接続でのユーザの動きを記録することができる。
かなり深刻に聞こえるこの欠陥だが、実社会においてはそのリスクを大幅に緩和させる要因もある。例えば、攻撃者がこの攻撃を成功させるには、ユーザがクライアントレスSSL VPNソリューションを使用していることを知っていなければならない他、攻撃者のサイトに行く前に、ユーザがユーザのSSL VPNソリューションで認証していなければならない。さらに、クライアントレスSSL VPNソリューション全てがあらゆるURLを任意に書き換えるわけでもない。攻撃者が支配下でSSLソリューションに外部サイトを書き換えさせることは困難である。このため、クライアントレス SSL VPNソリューションがトラステッド・ドメインでURLリライティングを制限している場合、この欠陥のリスクは大きく低下する。
【対策】
これはクライアントレスSSL VPN製品が使うURLリライティング(もしくはマングリング)技術のデザインに内在する欠陥である。この問題に対する完全な解決策はないが、特定のSSL VPNインプリメンテーションは攻撃者が実社会でこの欠陥を利用するリスクを緩和することができる。この脆弱性のリスクを低下させ、この種の攻撃を受けにくくするためにクライアントレスSSL VPNができる3つの回避策をCERTはすすめている。
【回避方法】
- URLリライティングはトラステッド・ドメインに制限する
クライアントレスSSL VPNソリューションは内部サイトやトラステッドサイトのURLのみを書き換えるようにする。その他のサイトやドメインは、クライアントレス SSL VPNからアクセスできないようにする。
- VPNサーバ・ネットワーク接続はトラステッド・ドメインに制限する
ネットワークレベルでSSL VPNソリューションがどのドメインにアクセスできるか制限することもできる。例えば、SSL製品ネットワーク接続を特定のトラステッド・リソースにのみ制限するファイアウォールのルールを書くことも可能だ。
- URLを隠す機能を無効にする
クライアントレスSSL VPNの中には、URLが書き換えられることを分りにくくするものもある。そうすると、ユーザのSSL VPNソリューションを通じて送信した悪質なページも隠すことができるようになるため、攻撃者にとってはプラスとなる。ブラウザで書き換えられたURLを全部見ることで、ユーザは悪質なサイトのURLが換えられたことに気付くことができるが、大方のユーザは正当に書き換えられたURLと悪質なものとの区別を付けられないため、この回避方法は効果的とは言えない。
使用しているクライアントレスSSL VPN製品のベンダが回避策を実施しているか、また、問題のリスク緩和させるために取っている対策について知るには、使用しているSSL VPN製品のベンダに連絡を取ることをすすめる。CERTのVulnerability Note にある"Systems Affected" (影響を受けているシステム)の欄には、問題を受けている可能性のベンダ・リストが掲載されているので、それを参照にすること。ベンダによる回答を閲覧できるリンクもそのリストに掲載されている。
WatchGuard SSL VPNソリューションへの影響については次を参照。
【WatchGuard XTM およびUTM アプライアンス(Firebox)を使用している場合】
WatchGuard UTMおよびXTMアプライアンスがサポートしているのはクライアント・ベースSSL VPN接続のみであるため、脆弱性の影響はない。これらはVPNトンネル作成において上述のURLリライティング技術を使用していないため、クライアント・ベースSSL VPNソリューションは脆弱性の影響を受けていない。
【WatchGuard SSL 100アプライアンスを使用している場合】
WatchGuard SSL 100アプライアンスは、クライアント・ベースおよびクライアントレスSSL VPN接続のどちらもサポートしている:
- クライアント・ベース:
WatchGuardのSSL 100ユーザは大方クライアント・ベースであるアクセス・クライアントを使ってアプライアンスを配置している。そうしたタイプはこの脆弱性の影響を受けていない。
- クライアントレス:
SSL 100のクライアントレス・オプションはURLリライティングを使用するため、この欠陥の影響を幾分受けていることになるが、その損害の可能性は限られたものである。WatchGuardのクライアントレス・ソリューションは内部またはトラステッドURLのみを書き換えるようになっている(つまりCERTの回避策の最重要点を実施していることになる)。そして、SSL 100アプライアンスがこの欠陥の影響を受けにくくしている主な理由は、外部または信頼できないもの(www.google.comなどあらゆる外部からのURL)とされるURLは上書きしないようになっている点である。クライアントレス・ソリューションを使用している場合は、SSL 100アプライアンスがトラステッド・リソースにのみアクセスできるようにするファイアウォール・ポリシーを作成することができる。損害の可能性は限られているものの、やはり心配であるという場合は代わりにアクセス・クライアントを使用する方法がある。
【ステータス】
これはSSL VPNのURLリライティングのデザインに内在するセキュリティ欠陥であるため、技術的に修正することはできない。しかしWatchGuardのSSL 100など、特定のクライアントレスSSL VPNソリューションには影響を受けるチャンスを大幅に低下させるための回避策がある。
【参考資料】
詳細について知りたい場合の連絡先
この問題に関する詳細情報やWatchGuard製品へのセキュリティ懸念などに関しては、下記まで日本語または英語でお問合せください:
コーリー・ナクライナー
シニア・ネットワークセキュリティ・ストラテジスト
ウォッチガード・テクノロジーズ
http://www.watchguard.com
corey.nachreiner@watchguard.com
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。