メインコンテンツへスキップ
インテリジェンスダイジェスト

常に接続され、常に脆弱:レガシーVPNとファイアウォールの欠点

Palo Alto Networksの最近の脆弱性により、組織は横方向の脅威の移動とデータ侵害にさらされています。

ロッドマン・ラメザニアン - エンタープライズクラウドセキュリティアドバイザー

2024年4月29日 7分で読めます

過去1年間、VPNの脆弱性とのいたちごっこが続き、古いリモートアクセスシステムを使用している組織は潜在的なサイバー攻撃に対して無防備な状態に置かれてきました。ハッカーは、重大なIvanti CVEFortinet FortiVPNの事象のようなVPNから、Palo Alto Networks PAN-OSのようなファイアウォール、Telegramのようなメッセージングアプリケーションに至るまで、日常的に使用されるソフトウェアの重大な欠陥を悪用しています。リモートコード実行を介して攻撃者がデバイスを完全に制御したり、サービス拒否(DoS)攻撃でデバイスへのアクセスをブロックしたりすることを可能にすることで、これらの脆弱性は貴重なデータを危険にさらします。

2023年12月、中国政府系ハッカーはIvanti VPN製品のゼロデイ脆弱性(CVE-2023-46805およびCVE-2023-21887)を悪用し、認証バイパスによる不正アクセスとリモートコマンドインジェクションによるリモート制御を可能にしました。パッチがリリースされた後も、攻撃者は修正をバイパスし、悪意のある活動を継続するための新しい脆弱性(CVE-2024-21888)を発見しました。

この2月、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、別のVPN攻撃について警鐘を鳴らしました。今回の標的は、ファイアウォール、アンチウイルス、侵入防止、仮想VPN機能を組み合わせたCisco ASAセキュリティアプライアンスでした。犯人は、WindowsとLinuxの両方のシステムを攻撃するAkiraランサムウェアグループによって悪用された既知の脆弱性(CVE-2020-3259)でした。このサイバー犯罪組織は、誤って設定されたWebVPN/AnyConnectのセットアップを利用してデータを盗みました。

この最新の脆弱性はPalo Alto Networksのものです。CVE-2024-3400として追跡されているこの重大なゼロデイは、同ベンダーのGlobalProtect VPN製品に影響を与えます。Palo Alto Networks PAN-OSで発見されたこの重大なセキュリティホールは、ユーザー名とパスワードを必要とせずに、攻撃者がファイアウォール自体とそのVPN接続をroot権限で完全に制御することを可能にします。簡単に言えば、このゼロデイ脅威は、10点満点中10点という最高の深刻度スコアを持っています。

Volexityが公開した最初の発見に関する記事では、攻撃者がデバイスから設定データをエクスポートすることに注力し、それを侵入ポイントとして利用して標的組織内で横方向に移動したことが判明しました。

ゼロデイエクスプロイトを使用したこれらの繰り返しの攻撃は、懸念すべき傾向を浮き彫りにしています。問題は特定のベンダーにあるのではなく、VPN自体の古いアーキテクチャにあるのです。

図1。CISAは、Palo Alto Networksの脆弱性を悪用して開始されたアクティブな悪用を確認するアドバイザリを公開しました。

なぜこれらのインシデントが発生するのでしょうか?

過去数年間、SSL VPN製品は、金銭目的のサイバー犯罪者と国家支援型ハクティビストの両方を含む、幅広い脅威アクターによって標的とされてきました。この現象をどのように説明しますか?答えは比較的単純です。SSL VPNは、貴重な企業データの宝庫にアクセスするための侵入ポイントとして機能するのです。これらは企業のネットワークへの直接的な経路を提供するため、さらなる攻撃のための貴重な足がかりとなります。

図2。レガシーVPNアーキテクチャは、攻撃者に広範な機会を提供し続けています。

COVID-19パンデミック後のリモートワークの急増は、SSL VPNを諸刃の剣に変えました。アクセスが容易であるため、攻撃者はリモートワーカーのフィッシングやその他のソーシャルエンジニアリング攻撃に対する脆弱性を悪用できます。

Palo Alto Networks GlobalProtectの欠陥のような最近のVPNおよびファイアウォールの脆弱性は、別の懸念すべき傾向を浮き彫りにしています。これは特定のベンダーを非難することではありません。むしろ、これらのテクノロジーにおける根本的な設計上の欠陥に関するものです。組織は、ファイアウォールやVPNのようなインターネットに接続された資産が侵害の主要な標的であることを認識する必要があります。攻撃者がアクセスを獲得すると、従来のレガシーアーキテクチャは、彼らがネットワーク内で自由に移動し、機密データを盗み、重要なアプリケーションを危険にさらすことを可能にします。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)オーストラリアサイバーセキュリティセンター(ACSC)は、脆弱性の深刻度のため、あらゆる規模の組織、特に政府機関が迅速に行動することを推奨するガイダンスを公開しました。これらの記事には、パッチ適用と可能な限り露出を制限するのに役立つ追加リソースが含まれています。

図3。オーストラリアサイバーセキュリティセンター(ACSC)は、アクティブな悪用を確認するアドバイザリガイダンスを公開しました。

脆弱性のパッチ適用は依然として重要ですが、ゼロデイ攻撃に対する真にプロアクティブな防御のためには、Zero Trust (ゼロトラスト) アーキテクチャが最も大きな利点をもたらします。

露出を制限するために、いくつかの基本的なステップがあります。

  • 攻撃ポイントを最小限に抑える: 重要なアプリケーションや脆弱なVPNをオンライン上で見えないようにすることで、初期侵入を防ぎます。
  • 侵害を封じ込める: ユーザーをアプリケーションに直接接続することで、侵害されたシステムからの損害を最小限に抑えます。
  • ゲートで脅威を阻止する: すべてのトラフィックを継続的に検査し、新たな脅威を自動的にブロックします。
  • アクセス権限を制限する: ユーザーが必要なアクセスのみを与えることで、不正な操作を防ぎます。

「Zero Trust (ゼロトラスト)」はセキュリティ分野でバズワードとなっていますが、正しく実装されれば、真の価値を持つアプローチです。Zero Trust (ゼロトラスト) の原則とその基盤となるアーキテクチャを実装することで、企業はファイアウォールやVPN製品の脆弱性による深刻な露出を含め、従来のネットワークを悩ませるセキュリティリスクに効果的に対処できます。

VPNへの依存を最小限に抑え、それによって別の脆弱性によって再び露出するリスクを無効にできるのであれば、その選択肢を検討しない手はありません。Zero Trust (ゼロトラスト) は古いルールブックを捨て去ります。ファイアウォールやVPNによって保護される従来のネットワークとは異なり、Zero Trust (ゼロトラスト) は中心的な「信頼されたゾーン」に依存しません。その代わりに、ユーザーと彼らが必要とする特定のリソースとの間に直接安全な接続を作成します。これはユーザーとアプリケーションだけにとどまりません。Zero Trust (ゼロトラスト) は、ワークロード、支店、リモートワーカー、さらには産業用制御システムも接続できます。

Skyhigh Security は、要求元のユーザーやデバイスを企業ネットワークに直接誘導するのではなく、承認されたアプリケーションへの安全な接続を促進することでこれを可能にします。機密リソースへのアクセスが許可される前に、すべてのユーザー、デバイス、および接続が継続的に検証されます。信頼はデフォルトで付与されることはなく、ユーザーの可用性やパフォーマンスを損なうことなく、常にデータの安全性と整合性を確保します。

図4. Zero Trust (ゼロトラスト) アーキテクチャが、特に脆弱性、エクスプロイト、ラテラルムーブメント攻撃が迫っている状況において、いかに攻撃対象領域を劇的に制限するか。

セキュリティリーダーはZero Trust (ゼロトラスト) を導入すべき時です。このクラウドベースのアプローチは、ファイアウォール、VPN、その他のレガシーテクノロジーに関連する脆弱性を排除することで、攻撃対象領域を縮小します。攻撃者から通常の侵入ポイントを奪うことで、Zero Trust (ゼロトラスト) はより強力な防御と堅牢なセキュリティ体制を構築します。

参照:

Skyhigh Security を使用する理由

ロッドマン・ラメザニアン

著者について

ロッドマン・ラメザニアン

エンタープライズクラウドセキュリティアドバイザー

サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。

ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。

率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。

攻撃のハイライト

  • Palo Alto NetworksのファイアウォールおよびVPN機能の運用に使用されるPAN-OSにおいて、CVSSスコア10点満点中10点という最高レベルの重大な脆弱性が発見されました。
  • この脆弱性により、リモートの認証されていない攻撃者が製品上でroot権限を取得し、完全に制御できるようになります。Palo Alto Networksによると、この脆弱性は現在、実環境で積極的に悪用されています。
  • 攻撃者はPalo Alto Networksのファイアウォールを侵入ポイントとして利用し、標的組織内でラテラルムーブメントを行っています。
  • 業界の調査とインテリジェンスにより、これらの製品の脆弱性が世界中の組織をゼロデイ脅威にさらしている数千件の事例が発見されています。
  • 業界の研究者によって発見されたある事例では、攻撃者がPalo Alto Networksファイアウォール上の侵害された高特権サービスアカウントを悪用し、サーバーメッセージブロック (SMB) プロトコルを介して内部ネットワークへのアクセスを獲得しました。