新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

Cloudflare OneでVPNの脆弱性を排除

2024-03-06

3分で読了
この投稿はEnglish繁體中文한국어简体中文でも表示されます。

2024年1月19日、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、緊急指令24-01「Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性の軽減」を発行しました。CISAは、既知の、または合理的に疑わしい情報セキュリティの脅威、脆弱性、またはインシデントに対応して、緊急指令を発行する権限を有していて、米国連邦政府機関は、これらの指令を遵守することが求められます。

Eliminate VPN vulnerabilities with Cloudflare One

米連邦政府機関には、最近発見された2つの脆弱性に対して、3日以内に軽減策を実施するよう指示が出されました。CISAによるさらなる監視により、攻撃者は脆弱性の悪用を続け、早期の軽減策と検出手法に対して回避策を開発していることがわかりました。1月31日、CISAは緊急指令の補完的指示V1を発行し、機関に対して、Ivanti Connect SecureとIvanti Policy Secure製品のすべてのインスタンスを機関ネットワークからただちに切断し。それらの製品の使用を再開する前にいくつかの作業を行うよう指示しました。

このブログ投稿では、攻撃者の手口を探り、標的となる製品の本質となる高価値性について論じ、Cloudflareのセキュアアクセスサービスエッジ(SASE)プラットフォームによるそれらの脅威に対する保護策を紹介します。

なお、CloudflareのWAFは、Ivantiのゼロデイ脆弱性をプロアクティブに検出しており、Cloudflareの顧客を保護するための緊急ルールを展開しています。

攻撃者の手口

フォレンジック調査(Volexityによる優れたブログ投稿を参照のこと)では、この攻撃は2023年12月の時点で開始されていました。証拠をつなぎ合わせると、攻撃者がこれまで知られていなかった2つの脆弱性を連鎖させて、Connect SecureとPolicy Secureにアクセスし、認証されていないリモートコード実行(RCE)を可能にしたことがわかります。

CVE-2023-46805は、製品のWebコンポーネントにある認証バイパスの脆弱性で、遠隔の攻撃者は制御チェックをバイパスし、制限されたリソースへのアクセスを実現します。CVE-2024-21887は、製品のWebコンポーネントにあるコマンドインジェクションの脆弱性で、認証済みの管理者はアプライアンス上で任意のコマンドを実行し、特別に細工されたリクエストを送信できます。遠隔の攻撃者は、認証をバイパスすることで「認証済み」の管理者を装い、アプライアンス上で任意のコマンドを実行可能となりました。

攻撃者はこれらの脆弱性を悪用して、アプライアンスをほぼ完全に制御しました。攻撃者の行為で、注目する点は次のとおりです。

  • VPNサービスにログインするユーザーから資格情報を収集

  • その資格情報を使って保護されたシステムにログインし、さらに多くの資格情報を入手

  • ファイルを変更してリモートコード実行(RCE)を有効化

  • 多数のWebサーバーにWebシェルをデプロイ

  • アプライアンスからコマンドアンドコントロール(C2)サーバーにリバーストンネルを構築

  • ロギングの無効化と既存のログのクリアにより検出を回避

アプライアンスの過小評価と重大なリスク

これは、組織を重大なリスクにさらす深刻なインシデントです。CISAが指令を出すことは当然のことで、Ivantiはこの問題を緩和し、アプライアンス上のソフトウェアのパッチを開発するために懸命に取り組んでいるに懸命に取り組んでいます。また、これは従来型の「城と堀」セキュリティパラダイムを否定するものでもあります。このパラダイムでは、リモートユーザーは「城の外」、保護されたアプリとリソースは「城の中」にあり、セキュリティアプライアンスの層で構成される「堀」が、この2つを分離していました。堀(Ivantiアプライアンス)は、ユーザーの認証と認可を行い、保護されたアプリケーションとリソースに接続する役割を担い、攻撃者やその他の悪意のある行為者は、堀でブロックされていました。

このインシデントは、攻撃者が堀自体をコントロールできるようになった場合にどうなるか、そして制御を取り戻すために組織が直面する課題を示しています。ベンダーが提供するアプライアンスの典型的な2つの特性と従来型のセキュリティ戦略により、リスクは次のように重大なものになります。

  • 管理者はアプライアンスの内部機能にアクセスできる

  • 認証済みのユーザーは企業ネットワーク上のさまざまなアプリケーションやリソースに無差別にアクセスできるので、攻撃者のラテラルムーブメント(水平方向の拡散)のリスクが高まる

より優れた手法:CloudflareのSASEプラットフォーム

With network-level access, attackers can spread from an entry point to the rest of the network

Cloudflare Oneは、Cloudflareのセキュリティサービスエッジ(SSE)であり、シングルベンダーSASEプラットフォームです。 Cloudflare Oneはセキュリティとネットワークサービス全体に広がっています(最新のアップデートはこちら)が、ここでは上述の2点に焦点を当ててみます。

まず、Cloudflare Oneは最小権限の原則を含むZero Trustの原則を採用しています。そのため、正常に認証されたユーザーは、自身の役割に必要なリソースとアプリにのみアクセスできます。この原則の下では、攻撃者によるネットワークレベルでの無差別なアクセスが制限され、ユーザーアカウントが侵害された場合にも有用です。さらに、攻撃者のラテラルムーブメントの範囲が制限され、影響を受ける範囲を限定するうえでも効果があります。

第二に、組織の管理者はサービスとポリシーの設定にアクセスする必要がありますが、Cloudflare Oneでは、Cloudflareプラットフォームのシステム内部に外部からアクセスすることはできません。このアクセスが許可されなければ、攻撃者は、Ivantiアプライアンスの内部にアクセスして実行したような攻撃を仕掛けることができません。

ZTNA helps prevent dangerous lateral movement on an organization’s corporate network

従来型のVPNの利用を停止する

組織がCISA指令の影響を受けている、または最新化の準備を始めて現行のVPNソリューションを補強または変更したいとお考えの方は、Cloudflareにお問い合わせください。CloudflareのZero Trustネットワークアクセス(ZTNA)サービスは、 Cloudflare Oneプラットフォームの一部で、ユーザーをアプリに接続するための最速かつ安全な方法です。

オンボーディング支援がすぐに必要な方や、アーキテクチャワークショップの予約をご希望の方は、Cloudflareにお問い合わせください。ご利用中のIvantiまたはその他のVPNソリューションの補強や変更をお手伝いいたします。まだ問い合わせる段階ではない、とお考えの方は、現行のVPNをCloudflareのSASEレファレンスアーキテクチャ置き換える方法に関するラーニングパスの記事をご覧いただき、CloudflareのすべてのSASEサービスとオンランプとの連携をご確認ください。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
Security WeekVPNCloudflare OneCloudflare AccessVulnerabilitiesAttacksApplication Services

Xでフォロー

Cloudflare|@cloudflare

関連ブログ投稿

2024年11月20日 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...