World network attacks

ノルウェー国家サイバーセキュリティセンター(NCSC)は、SSLVPN/WebVPNソリューションを代替ソリューションに置き換えることを推奨している。

同センターは、2025年までに移行を完了することを推奨しており、「安全法」の対象となる組織や重要インフラの組織は、2024年末までに、より安全な代替手段を採用する必要があるとしている。

セキュア・ソケット・レイヤー・バーチャル・プライベート・ネットワーク(SSL VPN/WebVPN)製品のユーザーに対するNCSCの公式勧告は、インターネット・キー・エクスチェンジ(IKEv2)付きインターネット・プロトコル・セキュリティ(IPsec)への切り替えである。

SSL VPNとWebVPNは、SSL/TLSプロトコルを使用して、インターネット経由でネットワークへのセキュアなリモートアクセスを提供し、”暗号化トンネル “を使用してユーザーのデバイスとVPNサーバー間の接続を保護します。

IKEv2によるIPsecは、定期的に更新されるkeを使用して各パケットを暗号化および認証することにより通信を保護します。

「NCSCは、SSL/TLSを使用する安全なリモートアクセスのためのソリューションを、より安全な代替手段に置き換えることを推奨する。NCSCは、インターネット・キー・エクスチェンジ(IKEv2)を用いたインターネット・プロトコル・セキュリティ(IPsec)を推奨する」とNCSCのアナウンスは述べている。

サイバーセキュリティ組織は、IKEv2によるIPsecに欠陥がないわけではないことを認めつつも、SSLVPNに比べて設定エラーに対する耐性が低いため、IPsecに切り替えることでセキュアなリモートアクセス・インシデントの攻撃対象が大幅に減少すると考えている。

提案されている対策は以下の通り:

  • 既存のVPNソリューションの再構成またはリプレース
  • すべてのユーザーとシステムを新しいプロトコルに移行する。
  • SSLVPN機能を無効にし、受信TLSトラフィックをブロックする。
  • 証明書ベースの認証を使用する

IPsec接続が不可能な場合、NCSCは代わりに5Gブロードバンドを使用することを提案している。

一方、NCSCは、VPNソリューションがIPsec with IKEv2オプションを提供しておらず、移行を計画・実行する時間が必要な組織に対する暫定措置も共有している。

これには、集中型のVPNアクティビティ・ロギングの実施、厳格なジオフェンシングの制限、VPNプロバイダー、Tor出口ノード、VPSプロバイダーからのアクセスのブロックなどが含まれる。

米国や 英国など、他の国も他のプロトコルよりもIPsecの使用を推奨している。

悪用されるSSLVPNの欠陥の数々

ほとんどの企業が従うオープンスタンダードであるIPsecとは異なり、SSLVPNにはスタンダードがないため、ネットワーク機器メーカーは独自にプロトコルの実装を作成することになります。

しかし、このため、Cisco、Fortinet、SonicWallのSSL VPN実装では、ハッカーがネットワーク侵入のために積極的に悪用するバグが長年にわたって数多く発見されてきた。

一例として、フォーティネットは2月、中国のハッキンググループ「Volt Typhoon」が2つのFortiOS SSL VPNの欠陥を悪用して、オランダ軍のネットワークを含む組織に侵入したことを明らかにしました。

2023年には、AkiraとLockBitのランサムウェア・オペレーションがCisco ASAルータのSSL VPNゼロデイを悪用して、企業ネットワークに侵入し、データを盗み、デバイスを暗号化しました。

同年初めには、Fortigate SSL VPNの脆弱性が、政府機関、製造業、重要インフラストラクチャに対するゼロデイとして悪用されました。

NCSCの勧告は、2023年11月以降、重要なインフラで使用されているCisco ASA VPNの複数のゼロデイ脆弱性を悪用する高度な脅威行為者について、同組織が最近警告を発したことを受けたものです。

シスコは、この特定のキャンペーンを「ArcaneDoor」として公開し、「UAT4356」または「STORM-1849」として追跡されている脅威グループによるもので、デバイスのSSL VPNサービスに関連するWebVPNセッションへの不正アクセスを行ったとしている。

この攻撃には、CVE-2024-20353とCVE-2024-20359という2つのゼロデイが悪用されており、ハッカーは認証のバイパス、デバイスの乗っ取り、管理者権限への特権昇格を実現していた。

シスコは4月24日にこの2つの脆弱性を修正したが、サイバーセキュリティとネットワーク機器の会社は、脅威者がどのようにして最初にデバイスにアクセスしたのか特定できなかった。