複数のVPN製品に影響を与える脆弱性「ポートシャドウ」が見つかる:セキュリティニュースアラート
Citizen Labは複数のVPN製品に影響する新たな脆弱性があると伝えた。脆弱性を悪用されると、匿名性の喪失やDNS要求のリダイレクト、ポートスキャンの実行のリスクがある。
Citizen Labは2024年7月16日(現地時間)、同社主催のイベント「Privacy Enhancing Technologies Symposium 2024」で、VPNソフトウェアの接続追跡フレームワークに「ポートシャドウ」と呼ばれる脆弱(ぜいじゃく)性が見つかったと発表した。
複数のVPN製品に影響を与える脆弱性「ポートシャドウ」に注意
この脆弱性は主要なOSのVPN接続に影響を与え、悪用されると、接続の匿名性が奪われたり、DNS要求がリダイレクトされたり、ポートスキャンが実行されたりする可能性がある。
ポートシャドウは「Linux」および「FreeBSD」で実行されるVPNソフトウェア「OpenVPN」「WireGuard」「OpenConnect」に影響を与えると報告されている。ただし脆弱性の仕組み上、VPNクライアント側の修正ではなくVPNサーバに関するファイアウォールルールの緩和が提案されている。
VPNサーバの被害軽減策としては1クライアント当たりの同時接続数を制限することやVPNクライアントがVPNサーバから切断されるたびに接続追跡フレームワークから古いエントリーを削除することなどが推奨されている。LinuxではIPtablesコマンドでの対応が効果的とされ、FreeBSDではVPNクライアントが使用できる送信元ポートを制限することで攻撃を防げるとしている。
VPNエンドユーザーにはユーザー自身のみがアクセスできるプライベートVPNサーバに接続するか、OpenVPNやWireGuardの代わりに「Shadowsocks」や「Tor」といったVPNソフトウェアを使用することを推奨している。ShadowsocksおよびTorは問題のある接続追跡フレームワークに依存していないため、ポートシャドウの影響を受けないという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。
セキュリティ担当者がいま学びたいプログラミング言語とは?
Linux FoundationとOpenSSFが安全なソフトウェア開発教育に関するレポート「Secure Software Development Education 2024 Survey」を公開した。調査から、多くのセキュリティ担当者が積極的に学びたいと考えているプログラミング言語が判明した。
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。