今年の6月から、特に8月以降、VPN機器やネットワーク機器の深刻な脆弱性の公表が続いています。既に対応を完了されていると思いますが、万一、対応未済のものがあれば即座に対応してください。また、これらの脆弱性は公表時点で既に悪用が発生している「ゼロデイ脆弱性」や公表後すぐに悪用が発生したものばかりです。ゼロデイ脆弱性や公表後すぐに悪用が発生する脆弱性はこれまでにもありましたが、この頻度で続くのは記憶にありません。VPN機器やネットワーク機器の脆弱性の問題は次の段階に入ったように感じています。
目次
BIG-IPのConfiguration utilityにおける認証回避の脆弱性(CVE-2023-46747)
2023年10月27日(現地時間)、F5 Networksのネットワーク機器製品であるBIG-IPにおいてConfiguration utility(ブラウザベースの管理UI)に関する認証回避の脆弱性CVE-2023-46747が公表されました。そして、3日後の10月30日(現地時間)に本脆弱性の悪用がレポートされています。
影響のある製品はBIG-IPのサポートされている全てのバージョンです。ただし、サポート切れバージョンについては影響有無の評価がなされていないため、サポート切れバージョンも影響を受ける可能性があります。なお、本脆弱性は、コントロールプレーン(管理機能)の問題であり、データプレーン(トラフィックの処理部分)には影響がありません。その為、即座の対応が必要なのは、管理インタフェースをインターネットに露出している場合です。
Cisco IOS XEのWeb UIにおける権限昇格の脆弱性(CVE-2023-20198)
2023年10月16日(現地時間)、Cisco のネットワーク機器向けOSであるCisco IOS XEにおけるリモートからシステムを制御できる脆弱性CVE-2023-20198が公表されました。本脆弱性はWeb管理インタフェースであるWeb UIにおける権限昇格の脆弱性です。本脆弱性によって、リモートから認証不要で特権アカウントを作成され、そのアカウントを通じてシステムを制御されてしまう可能性があるものです。
影響を受けるのはCisco IOS XEで稼働する全ての機器ですが、Web UI が有効である場合のみ影響を受けます。
本脆弱性は公表時点で既に悪用が発生しているいわゆる「ゼロデイ脆弱性」であり、対応版へのアップデートやWeb UIの無効化等の脆弱性を塞ぐ対応を行うまでの間に侵害を受けている可能性があるため、侵害有無の確認や侵害を想定した対応(既存セッションの失効や認証情報の変更等)も実施する必要があります。
JPCERT/CCも10月18日に注意喚起を発出し、本脆弱性の悪用による被害を確認していることを記載するとともに、侵害痕跡の調査の実施を促しています。
Citrix ADCおよびCitrix Gatewayの脆弱性 (CVE-2023-4966)
2023年10月10日(現地時間)、Citrixのネットワーク機器であるNetScaler ADC(旧 Citrix ADC)およびVPN機器であるNetScaler Gateway (旧 Citrix Gateway)におけるリモートコード実行可能な脆弱性CVE-2023-4966が公表されました。本脆弱性は10月17日(現地時間)にCitrixから悪用の情報がレポートされましたが、その後も悪用が広がっており「Citrix Bleed」と呼ばれています。ランサムウェア攻撃グループのLockBit 3.0が悪用しているとの情報もあります。
影響のある製品はNetScaler ADCおよびNetScaler Gateway のサポート切れを含めた全てのバージョンですが、ゲートウェイ(VPN仮想サーバー、ICA Proxy、CVPN、RDP Proxy)、もしくはAAA仮想サーバ(認証仮想サーバ)として設定されている場合のみ影響を受けます。
Juniper Junos OSの脆弱性(CVE-2023-36845他)
2023年8月17日(現地時間)、Juniper Networksのネットワーク機器向けOSであるJunos OSにおける脆弱性CVE-2023-36845他3件が公表されました。これらの脆弱性は外部よりPHPの環境編集を変更できるものや認証の欠如などですが、これらが組み合わされることによって認証なしにリモートからコード実行が可能となるものです。11月8日(現地時間)にJuniper Networks が悪用の観測をレポートしています。また、CVE-2023-36845単独でも攻撃可能な攻撃コードが公開されています。
影響を受けるのはSRXシリーズおよびEXシリーズの全てのバージョンのJunos OSですが、J-Web(Web管理インタフェース)が有効である場合のみ影響があります。
脆弱性の対応版は、この執筆時点(12月1日)ではCVE-2023-36845の対応版のみリリースされておらず、J-Web を無効にする、もしくは信頼できる相手のみにアクセスを制限する対応もあわせて実施する必要があります。本脆弱性は当初、あまり話題になっていなかったため、対応が遅くなった企業・組織があるかも知れません、11月以降に対応を行った場合は、侵害有無の調査も必要でしょう。
FortiOS およびFortiProxyのSSL-VPN機能の脆弱性(CVE-2023-27997)
2023年6月12日(現地時間)、FORTINETのFortiOS、FortiProxyにおけるSSL-VPN機能の脆弱性CVE-2023-27997が公表されました。公表された時点で既に限られたケースですが悪用された可能性があることがアナウンスされています。FortiOS-6K7K、FortiOS、FortiProxyの(サポート切れを含め)全てのバージョンが影響を受けます。
なぜVPN機器やネットワーク機器における脆弱性の悪用が続くのか
どうして、VPN機器やネットワーク機器に、ゼロデイ脆弱性や公表後すぐに悪用が発生する脆弱性が続いているのでしょう。その最大の要因はランサムウェア攻撃の活発化と考えています。侵入型ランサムウェア攻撃によって多くの金銭を得た攻撃者グループが脆弱性の発見にリソースを投入しており、その為、ランサムウェア攻撃の侵入口となるVPN機器やネットワーク機器の脆弱性が集中的に見つけ出され悪用されていると考えられます。加えて、ネットワーク機器のWeb管理インタフェースの利用拡大が拍車をかけています。ネットワーク機器の管理作業というと、以前は管理専用ネットワークに管理用機器を接続し情報を収集したり設定ファイルをアップロードしたりすることが主だったのですが、作業効率化や管理高度化のため多くの機器がWeb管理インタフェースをサポートするようになりました。加えて、メンテナンス作業の効率化やコスト削減のためインターネットからWeb管理インタフェースを使ってメンテナンスを行うケースが増えていると考えられるのです。
推測含みですが、このような状況を考えるとVPN機器とネットワーク機器Web管理インタフェースにおける脆弱性の悪用は今後も続く恐れがあり、以下のような対策が必要と考えています。
1.脆弱性情報のタイムリーな収集
JPCERT/CCの注意喚起やIPAの重要なセキュリティ情報に加え、米CISAのKEV(Known Exploited Vulnerabilities Catalog)を定期的にチェック
2.脆弱性への迅速な対応と侵害有無の確認
バージョンアップ等の対応を3日前後で実施できたり、侵害有無の確認を実施できる保守契約やメンテナンス体制 としたり、テスト機や予備機の準備
3.Web管理インタフェースの非公開やアクセス制御の実施
4.侵害されることを前提とした対策
侵入口となり得る機器から内部ネットワークへの通信のアクセス制御や、これらの機器のログのチェックや監視
<参考URL>
K000137353: BIG-IP Configuration utility unauthenticated remote code execution vulnerability CVE-2023-46747(F5 Networks)
https://my.f5.com/manage/s/article/K000137353
BIG-IPの脆弱性(CVE-2023-46747)について(JPCERT/CC)
https://www.jpcert.or.jp/newsflash/2023102701.html
Cisco IOS XE Software Web UI Privilege Escalation Vulnerability(Cisco)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-4966)に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2023/at230026.html
2023-08 Out-of-Cycle Security Bulletin: Junos OS: SRX Series and EX Series: Multiple vulnerabilities in J-Web can be combined to allow a preAuth Remote Code Execution(Juniper)
https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US
FortiOS & FortiProxy - Heap buffer overflow in sslvpn pre-authentication(FORTINET)
https://www.fortiguard.com/psirt/FG-IR-23-097
北尾 辰也
サイバーセキュリティコンサルタント。三菱UFJ銀行で12年間サイバーセキュリティに従事し、2022年4月にフリーランスとして独立。現在はサイバーセキュリティに関するコンサルティングやアドバイザー業務を行うとともに、国土交通省最高セキュリティアドバイザーや日本シーサート協議会専門委員、⾦融ISAC個⼈賛助会員として活動している。