CiscoのVPN製品にDoS攻撃を引き起こす脆弱性が見つかった。既にこの脆弱性は積極的に悪用されていることが分かっている。この他のVPN製品についても脆弱性を狙った攻撃が増加しており注意が必要だ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Ciscoによると、「Cisco Adaptive Security Appliance Software」および「Cisco Firepower Threat Defense」のリモートアクセスVPNのサービスに対してDoS攻撃を引き起こす可能性のある脆弱(ぜいじゃく)性が積極的に悪用されているという。
Ciscoが2024年10月23日(現地時間、以下同)に発表した勧告によるとこの脆弱性は「CVE-2024-20481」としてリストに掲載されており(注1)(注2)、共通脆弱性評価システム(CVSS)におけるスコアは5.8にすぎないが、認証されていない攻撃者によるリモートアクセスVPNのサービスにへのDoS攻撃を可能にする。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年10月24日、この脆弱性をカタログに追加した(注3)。
Ciscoによると、攻撃者は同脆弱性を悪用し、影響を受けたデバイスに大量のVPN認証のリクエストを送信できるという。攻撃が成功するとリソースが枯渇し、標的となったデバイスのリモートアクセスVPNのサービスがサービス拒否の状態に陥る。
Ciscoは「回避策はないものの、パスワードスプレー攻撃に対処しているユーザー向けの緩和策が利用できる」と述べた。
Cisco Product Security Incident Response Teamは「勧告で公表された脆弱性が悪意を持って使用されていることを認識している」と述べた。同脆弱性は、Ciscoの技術支援センターのサポートケースを解決する過程で発見された。
Cisco Talosの研究者たちは(注4)、2024年4月にこの種の攻撃に関する懸念を表明していた。当時、研究者たちは同年3月中旬からVPNサービスやWebアプリケーション認証インタフェース、セキュアシェルサービスを対象としたブルートフォース攻撃の全世界的な急増を観測していた。
Cisco Talosが2024年4月に言及した攻撃は、ネットワークへの不正アクセスやアカウントのロックアウト、サービス拒否につながる可能性があった。これらの攻撃は、Cisco Secure FirewallやCheck Point、Fortinet、SonicWallなどのVPNを含む幅広いサービスにも影響を与えた。
Cisco Talosによると、当時の攻撃は「Tor」の出口ノードや他の匿名化トンネルから発生していた。ここ数カ月、VPNを狙った脆弱性を悪用して攻撃者がシステムに侵入するケースが増加している。以前は、Check Point SoftwareのVPNにおける脆弱性も攻撃の対象とされていた(注5)。
(注1)CVE-2024-20481 Detail(NIST)
(注2)Cisco Adaptive Security Appliance and Firepower Threat Defense Software Remote Access VPN Brute Force Denial of Service Vulnerability(CISCO)
(注3)CISA Adds Two Known Exploited Vulnerabilities to Catalog(CISA)
(注4)Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials(Cisco Talos Blog)
(注5)Check Point Software links newly identified CVE to VPN attacks(Cybersecurity Dive)
© Industry Dive. All rights reserved.