Pulse Secure 社は最新のセキュリティアドバイザリで、同社の VPN サービス「Pulse Secure Connect」に重大な脆弱性(CVE-2021-22893)が発見されたことを発表しました。
アドバイザリの内容は次のとおりです。「Pulse Connect Secure(PCS)で脆弱性が発見されました。これには認証バイパスの脆弱性が含まれており、認証されていないユーザがリモートから任意のファイルを Pulse Connect Secure ゲートウェイで実行できます。この脆弱性の CVSS スコアは高く、導入環境に重大なリスクをもたらします」。
同社はこのアドバイザリを開示するとともに、脆弱性が実際にエクスプロイトされたことを示すブログ記事を公開しました。この記事によれば、今回のインシデントにおいて既知の脆弱性もいくつかエクスプロイトされたことが判明しています。
米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)も、今回発見された脆弱性に関する警告を発表しました。その中で CISA は 2020 年 6 月まで遡り、複数の政府機関、主要なインフラ機関、民間組織に属するネットワークが侵害された事実について言及しています。
この種の VPN 脆弱性は、ランサムウェアグループや国家支援の可能性が疑われる攻撃者など、さまざまな攻撃者によってエクスプロイトされています。Talos はこちらのブログ記事で米国国家安全保障局によるアドバイザリを紹介し、ロシア対外情報庁(SVR)が実際にエクスプロイトした複数の脆弱性について概説しています。アドバイザリで説明されている脆弱性の 1 つ(CVE-2019-11510)は、上記の Pulse Connect に対する攻撃でも利用されています。
緩和策
Pulse Connect は PCS ソフトウェアの完全性をチェックするツールをリリースしました。Pulse Connect Secure の最新バージョンには既知の脆弱性(CVE-2019-11510、CVE-2020-8243、CVE-2020-8260)に対するパッチが含まれているので、できるだけ早く最新バージョンに更新することを Talos でも推奨しています。ただし Pulse Secure 社によると、最新の脆弱性 CVE-2021-22893 にはまだパッチが適用されておらず、5 月にリリース予定とのことです。
米国国土安全保障省(DHS)も、このインシデントの詳細と必要な緩和策を示した緊急声明を発表しています。
Cisco Talos でもこの脅威を継続的に監視し、新たな情報の出現に応じてカバレッジを追加していきますが、CISA と Pulse Connect 社が提供する緩和策を採用することを強くお勧めします。
この記事で紹介した緩和策とアドバイザリへのリンクを以下に示します。
- PCS Integrity Assurance ツール
- CVE-2021-22893 Pulse Connect アドバイザリ
- CVE-2019-11510 Pulse Connect アドバイザリ
- CVE-2020-8243 Pulse Connect アドバイザリ
- CVE-2020-8260 Pulse Connect アドバイザリ
- CISA による警告
- DHS による緊急声明
カバレッジ
脆弱性のエクスプロイトは、以下の SNORTⓇ ルールで検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。さらに、SSL を使用するアプリケーションがエクスプロイトされる脆弱性もあります。これらの脆弱性のエクスプロイトを検出するには Cisco Secure Firewall と Snort で SSL 復号を有効にする必要があります。BlueKeep と Hafnium に関連したエクスプロイトから保護する方法をそれぞれの記事で取り上げているので参考にしてください。
Snort ルール:51288、51289、51390、57452 ~ 57459、57461 ~ 57468
本稿は 2021 年 04 月 22 日に Talos Group のブログに投稿された「Threat Advisory: Pulse Secure Connect Coverage」の抄訳です。