2019/10/04

複数のベンダの VPN ソリューションに潜む脆弱性

network world

2019 年 10 月 4 日 Emil Hozan 著

2019 年 10 月 2 日、イギリス国立サイバーセキュリティセンター(NCSC)が発表した報告で、Pulse Secure 社、Palo Alto 社、Fortinet 社の SSL VPN ソリューションに脆弱性があることが述べられています。これらの脆弱性は、任意のファイルの取得や、認証情報の取得、認証後のコマンドインジェクションなどです。ネットワークへの不正なアクセスは大きな脅威であり、第 2 の攻撃を誘発する恐れもあります。

特にソフトウェアへのパッチが迅速に適用されていない場合、ログにある感染の痕跡を調査することが推奨されます。特に、調べるべき事柄は、不明な IP アドレスや、不審な時間のアクセスです。在宅勤務のユーザの場合、まずユーザの IP アドレスを確認することが第一歩ですが、管理者は接続開始時に使われたすべての IP を調べるようにしてください。もちろん万が一に備えるため、すべてのユーザのパスワードを変えさせることも忘れないようにしましょう。

NCSC の記事では、ログがありデータが残っている場合に調査すべきデータが紹介されています。Pulse Connect Secure では、NCSC は「/dana/html5acc/guacamole/」のコードを含むログを探すことを勧めています。Fortigate は、デフォルトでは Web リクエストを記録しませんが(しかしこれは分析という意味で大きな問題で、関連のあるイベントは記録するようにしましょう)管理者がログ設定を有効にしていた場合は、200KB 前後のファイルダウンロードのログを探すことが推奨されます。このファイルは sslvpn_websession ファイルで、アクティブユーザのユーザネームやパスワードが含まれています。Palo Altoに関してはログを見つけることは難しいのですが、失敗した攻撃の証拠になりうるクラッシュのログを調べることが推奨されます。

まとめ

ログを取得しており、少なくとも分析に必要な期間はログが保存されることを今一度確認してください。正解と言える保存期間は、ありませんが、90 日間ほどを最初は保存するようにしてください。そして、感染にすぐ気づける場合ばかりではないということも覚えておきましょう。このことを認識していない組織もあります。感染を検知するまでに 100 日間以上かかるようなケースもあります。もし組織にログの分析専門の担当者がいるならば、より迅速に検出できるでしょう。適切なトレーニングは、調査業務そのものと同じように大切です。

WatchGuard の SSL VPN ソリューションは、多要素認証ソリューションである AuthPoint と併用することが可能です。多要素認証を企業内のすべてのログインに適用すれば、パスワードが流出しても多要素認証ソリューションによって承認されない限り使えなくなります。是非、多要素認証ソリューションを導入してください。