CiscoのVPN製品にDoS攻撃を引き起こす脆弱性 積極的な悪用を確認済み:Cybersecurity Dive
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性が見つかった。既にこの脆弱性は積極的に悪用されていることが分かっている。この他のVPN製品についても脆弱性を狙った攻撃が増加しており注意が必要だ。
Ciscoによると、「Cisco Adaptive Security Appliance Software」および「Cisco Firepower Threat Defense」のリモートアクセスVPNのサービスに対してDoS攻撃を引き起こす可能性のある脆弱(ぜいじゃく)性が積極的に悪用されているという。
VPNの脆弱性を狙ったサイバー攻撃が増加中 緩和策の適用は急務
Ciscoが2024年10月23日(現地時間、以下同)に発表した勧告によるとこの脆弱性は「CVE-2024-20481」としてリストに掲載されており(注1)(注2)、共通脆弱性評価システム(CVSS)におけるスコアは5.8にすぎないが、認証されていない攻撃者によるリモートアクセスVPNのサービスにへのDoS攻撃を可能にする。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年10月24日、この脆弱性をカタログに追加した(注3)。
Ciscoによると、攻撃者は同脆弱性を悪用し、影響を受けたデバイスに大量のVPN認証のリクエストを送信できるという。攻撃が成功するとリソースが枯渇し、標的となったデバイスのリモートアクセスVPNのサービスがサービス拒否の状態に陥る。
Ciscoは「回避策はないものの、パスワードスプレー攻撃に対処しているユーザー向けの緩和策が利用できる」と述べた。
Cisco Product Security Incident Response Teamは「勧告で公表された脆弱性が悪意を持って使用されていることを認識している」と述べた。同脆弱性は、Ciscoの技術支援センターのサポートケースを解決する過程で発見された。
Cisco Talosの研究者たちは(注4)、2024年4月にこの種の攻撃に関する懸念を表明していた。当時、研究者たちは同年3月中旬からVPNサービスやWebアプリケーション認証インタフェース、セキュアシェルサービスを対象としたブルートフォース攻撃の全世界的な急増を観測していた。
Cisco Talosが2024年4月に言及した攻撃は、ネットワークへの不正アクセスやアカウントのロックアウト、サービス拒否につながる可能性があった。これらの攻撃は、Cisco Secure FirewallやCheck Point、Fortinet、SonicWallなどのVPNを含む幅広いサービスにも影響を与えた。
Cisco Talosによると、当時の攻撃は「Tor」の出口ノードや他の匿名化トンネルから発生していた。ここ数カ月、VPNを狙った脆弱性を悪用して攻撃者がシステムに侵入するケースが増加している。以前は、Check Point SoftwareのVPNにおける脆弱性も攻撃の対象とされていた(注5)。
(注1)CVE-2024-20481 Detail(NIST)
(注2)Cisco Adaptive Security Appliance and Firepower Threat Defense Software Remote Access VPN Brute Force Denial of Service Vulnerability(CISCO)
(注3)CISA Adds Two Known Exploited Vulnerabilities to Catalog(CISA)
(注4)Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials(Cisco Talos Blog)
(注5)Check Point Software links newly identified CVE to VPN attacks(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。Microsoft、全てのEntraテナントで多要素認証を必須に 先延ばしオプションは廃止
Microsoftは「Secure Future Initiative」の一環として多要素認証を全テナントでデフォルトで有効にし、セキュリティ基準を強化すると発表した。この変更に伴い14日間MFAの登録を先延ばしできた以前のオプションは廃止される。イセトーのランサムウェア被害、その侵入経路は?【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
サイバー攻撃の被害を防ぐには一にも二にも最新のパッチ適用が重要です。ただ、最近のサイバー攻撃者の気になる動きから、これだけでは攻撃を防げない実態が見えてきました。