ソフトウェア型セキュア・アクセス・ソリューションを提供しているPulse Secure社(米国カリフォルニア州)のモバイルVPN、Pule Connect Secure(PSC)アプライアンスに脆弱性が見つかりJPCERT/CCの早期警戒グループが注意喚起を行っています。この脆弱性を悪用したサイバー攻撃に関し米国土安全保障省サイバーセキュリティ庁(CISA)はセキュリティインシデントを発出、関連する分析レポートをリリースしました。
SUPERNOVAをインストールして資格情報を収集
Pulse Secure社のPule Connect Secureは、社外PCやモバイルデバイスから社内データベース等へのVPNアクセスを可能にする製品です。コロナ禍の在宅勤務を支えるリモートアクセスソリューションとして日本を含むアジア全域でも広く利用されているようです。
Pulse Secure社は4月20日(米国時間)にアドバイザリを公開しPule Connect Secure(PSC)アプライアンスに脆弱性(CVE-2021-22893)があることを明らかにしました。アドバイザリによると、認証されていない攻撃者がPule Connect Secureのゲートウェイ上でファイルを実行することができる認証上の重大な脆弱性だということです。
アメリカのサイバーセキュリティ企業、ファイア・アイはブログで、同社のインシデント対応部門であるマンディアントがPulse SecureVPNデバイスの悪用に関連する12のマルウェアファミリーを追跡していることを明らかにし、これらマルウェアのさまざまなコードの作成と展開には複数のアクターが関与している疑いがあると指摘しています。マンディアントは今年の初めに世界中の防衛、政府および金融機関の複数の侵入について調査を実施し、侵入者の初期の活動の証拠について追跡したところ、脆弱性CVE-2021-22893が明らかになったようです。Pulse Secure社の親会社であるivanti(米国ユタ州)の分析によると、侵入は過去に開示された脆弱性と今回発表された脆弱性を悪用して行われていたということです。
米国土安全保障省サイバーセキュリティ庁(CISA)は、少なくとも2020年3月にはじまった高度な持続的脅威(APT)による侵害に関する分析レポートをリリース、これはマンディアントの調査と連携した米政府機関の対応です。CISAの分析レポートによると、攻撃者はPulse Secureを介して標的のネットワークに接続、トロイの木馬型マルウェアSUPERNOVAをインストールしてネットワークの資格情報等を収集していました。
「防御側のセキュリティに細心の注意を払っている」
CISAの分析レポートによると、攻撃者は住宅用ipアドレスを使って在宅勤務の従業員になりすまし、Pulse SecureVPNを介して少なくとも2020年3月から2021年2月までターゲットのネットワークに接続して情報を窃取していたようです。ファイア・アイのサイバースパイ分析担当ディレクター、ベン・リード氏は「活動はステルス性が高く検知が困難であり、攻撃者は防御側のセキュリティに細心の注意を払っている。ウイルスに感染した家庭用ルーターを悪用しているため、活動の追跡も難しくなっている」とコメントしています。
Pulse Secure社の親会社であるivantiは日本語のアドバイザリーを公開していて、脆弱性CVE-2021-22893による影響は限定的で、影響のあった顧客に対しては直接解決策を提供しているほか来月初旬にはソフトウェアのアップデートを実施する予定だとしています。また、Pulse Secureの他の製品への影響はないということです。同社では影響の有無をチェックできるツール、Pulse Security Integrity Checker Toolを開発して顧客にダウンロードをして確認するようにすすめています。
■出典
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
https://www.jpcert.or.jp/at/2021/at210019.html
https://us-cert.cisa.gov/ncas/alerts/aa21-110a
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-112a
https://www.ivanti.co.jp/blog/pulse-connect-secure-security-update