Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

CVE-2019-11510: 「緊急」の Pulse Connect Secure の脆弱性、ランサムウェア「Sodinokibi 」の攻撃に悪用される

最近、8か月前に発見された世界中の大規模な組織や政府により使用されている一般的な SSL VPN ソリューションにおける脆弱性を悪用するランサムウェア攻撃が急増しています。

背景

1月4日、セキュリティ研究者の Kevin Beaumont氏 (@GossiTheDog) は、Secure Socket Layer(SSL)Virtual Private Network(VPN)ソリューションの脆弱性を悪用した2件のランサムウェア攻撃を「注目すべき事件」として報告しました。

Beaumont 氏は彼のブログで、脆弱なネットワークへのアクセスを得るためにこの脆弱性が悪用され、ドメイン管理者アクセス権の取得、PsExec を使用した仮想ネットワークコンピューティング (VNC) の横方向の移動、エンドポイントセキュリティツールの無効化、Sodinokibi ランサムウェア (SodinまたはREvil) のインストールのパターンの攻撃が発見されたと述べています。

Pulse Secure の最高マーケティング責任者である Scott Gordon 氏は、Beaumont 氏のブログに関して次の声明を発表しました。

「脅威アクターは、Pulse Secure、Fortinet、Palo Alto VPN製品で報告された脆弱性を悪用し、この場合、パッチが当てられていない VPN サーバーを悪用してマルウェア REvil (Sodinokibi) を感染させます。ユーザーがパッチが適用されていない脆弱な Pulse VPN サーバーを介してリソースにアクセスしようとすると、VPN インターフェースの対話型プロンプトを介してランサムウェアが配布およびアクティブ化されます。」

分析

Pulse Secure における脆弱性

CVE-2019-11510 は、Pulse Secure の SSL VPN である Pulse Connect Secure における「緊急」の任意のファイル開示の脆弱性です。この脆弱性は簡単に悪用できるため、共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System)では10.0のスコアを受けています。この脆弱性を悪用すると、リモートの認証されていない攻撃者は脆弱なエンドポイントからユーザー名とプレーンテキストのパスワードを取得する可能性があります。

Pulse Secure は2019年4月に脆弱性に対する定例外の修正をリリースし、この修正は2019年8月にこの脆弱性を突いた攻撃の概念実証 (PoC) が公開された後、さらに注目を集めました。概念実証がリリースされて間もなく、脆弱性の悪用を狙ったとみられるスキャンを確認したとの情報が公開されました。

当時、Bad Packets の最高研究責任者である Troy Mursch 氏は、この脆弱性をもつ14,500以上の Pulse Secure VPN エンドポイントを特定しました。Mursch 氏は、脆弱なエンドポイントのスキャン結果のウィークリーレポートを Twitter に公開すると同時に、影響を受ける組織に脆弱性を修正するよう通知しています。2020年1月3日の最新のスキャン結果によると、Mursch 氏は脆弱性なエンドポイントを3,825検出しています。そのうち1,300以上のエンドポイントは米国に存在しています。

国別の脆弱な Pulse Secure VPN サーバー

Sodinokibi (REvil) ランサムウェア

Sodinokibi (またはREvil) は2019年4月に、 Oracle WebLogic の認証されていない攻撃者によるリモートコード実行の脆弱性 (CVE-2019-2725) に対するゼロデイエクスプロイトを利用した攻撃の一部として発見されました。2019年7月の追加調査では、Sodinokibi も Win32k の権限昇格である CVE-2018-8453 を悪用していることが判明しました。

Sodinokibi は GandCrab ランサムウェアの作成者に関連付けられています。報告によると、GandCrab ランサムウェアは、20億ドルの身代金の支払いを獲得した後、2019年5月に活動を停止しました。

ビッグゲームハンティング ランサムウェア

「ビッグゲームハンティング」という用語の使用は、2018年にクラウドバンキングトロイの木馬から BitPaymer ランサムウェアを使用した標的型ランサムウェア攻撃に移行した INDRIK SPIDER と呼ばれる電子犯罪グループに関する Crowdstrike のブログを参照しています。「ビッグゲーム」とは、「標的を絞った低量で高収益」の攻撃活動への移行を意味します。

Sodinokibi の場合、これは実り多い戦術です。セキュリティ研究者の Rik Van Duijn 氏は、2020年の最初の6日間で1,000万ドル以上を要求する Sodinokibi ランサムウェア感染を7件以上特定しています。

Sodinokibi は上記のさまざまな脆弱性に関連付けられていますが、ランサムウェアは一般に、パッチが適用されていない脆弱なソフトウェア、悪意のある電子メール、公開されたリモートデスクトップシステムなど、さまざまな方法で拡散します。

概念実証

CVE-2019-11510を突く攻撃の最初の概念実証は、セキュリティ研究者の Alyssa Herrera 氏および Justin Wagner 氏により、8月20日に Exploit Database に公表されました。また、CVE-2019-11510を特定、または、悪用するための概念実証も GitHub リポジトリに複数公開されています

ソリューション

前述のとおり、Pulse Secure は CVE-2019-11510 の修正パッチを2019年4月にリリースしています。組織環境で Pulse Connect Secure を利用している場合は、早急にパッチを適用することが重要です。さらに、Sodinokibi は CVE-2018-8453 を悪用するため、Microsoft の2018年10月月例セキュリティ更新プログラムが適切に適用されていることを確認することも非常に重要です。

影響を受けているシステムの特定

この脆弱性を特定する Tenable プラグインのリストは、こちらからご覧いただけます。プラグインID 127897は、直接のエクスプロイトを特定します。

詳細情報

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

プロモーション価格の有効期間が12月末日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加