FortiClient VPNサーバから認証成功ログを記録しない問題が発見された。この欠陥はFortinetに報告されたが脆弱性として認められていない。この問題を悪用されるとどのようなリスクが生じるのか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Penteraは2024年11月21日(現地時間)、Fortinetが提供する「FortiClient VPN」サーバにおいて認証成功ログが適切に記録されない問題を発見したと伝えた。
FortiClient VPNサーバは「認証」と「承認」の2段階のプロセスを経てVPN接続を実行する。しかし2段階目の承認に成功した場合のみログイン成功を記録することが判明したという。Penteraの研究者がFortiClient VPNサーバの自動認証システムを構築するため通信プロトコルを解析している間にこの挙動を発見した。
FortiClient VPNサーバは認証にHTTPSプロトコルを使用する。本来は認証に成功すると「ret=1」を含む文字列を返す仕様で、これを読み取ることで承認プロセスへの移行前に認証情報の正確性を検証できる。研究者が認証プロセスを分析し、ログの記録状況を確認したところ、認証失敗時のみログが記録されることが分かった。
研究者はこの問題を重大なリスクだと警告している。攻撃者がブルートフォース攻撃などを使用して認証情報の窃取を試みた場合、失敗した記録のみが残されるのであればセキュリティ担当者は攻撃成功を認識できず、認証情報を窃取されたことに気が付かない可能性がある。
また、どの認証情報が窃取されたのか分からなければ、被害者にパスワードの変更を要求することも困難だ。対処が遅れると窃取された認証情報がダークWebなどで販売され、後のサイバー攻撃に悪用されかねない。
研究者は発見した問題をFortinetに報告した。しかしFortinetはこれを脆弱(ぜいじゃく)性とみなさなかったとされる。脆弱性ではないとされたことから「責任ある開示」に基づく調整は実施されていないとみられ、修正を待たずにPoC(概念実証)コードが「GitHub」に公開された。
FortiClient VPNサーバを運用している管理者には認証情報を秘密裏に窃取される可能性に備え、多要素認証(MFA)の導入や、ログの厳格な監視が推奨されている。本件の手法で認証情報が窃取された場合、数分以内に「SSL tunnel shutdown」がログに記録される。接続成功時に記録される「SSL tunnel established」が存在しない単独の「SSL tunnel shutdown」は認証情報を窃取された可能性があるとして警戒することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.