Blog

ユーザーからのアクセスを維持したまま、開いているポートを閉じる方法

2024年2月3日

イランのハッカーは、VPNの脆弱性を利用して、企業や政府のネットワークにバックドアを設置しています。

2月16日、サイバーセキュリティ企業のClearSkyは、Pulse Secure、Fortinet、Palo Alto Networks、Citrixといった企業のVPNソリューションに存在する既知のCVEを悪用し、コンピュータネットワークに侵入するイランに支援を受けたハッカーグループによる執拗かつ長期にわたるキャンペーンを発見したことを発表しました。場合によっては、新しいCVEが公開されてから数時間以内に、標的となったVPNに対して攻撃が開始されることもありました。ハッカーは、標的のネットワークに侵入すると、脆弱性のパッチが適用された後でもネットワークへのアクセスを継続できるようバックドアを設置します。標的となった産業分野は、ITおよびコンピューティング、公共事業、防衛、石油、航空などです。

設置されたバックドアは、検知・除去が困難です。クリアスカイは、ハッカーがすべてのバックドアを一度に作動させ、全国の公共施設、通信、輸送ネットワークをダウンさせる可能性があるため、将来的に大規模なインフラ攻撃の可能性があると警告しています。

公開CVEを不正に利用すること

Mitre Corporationは、一般に公開されているソフトウェアパッケージの情報セキュリティ上の脆弱性を特定・共有し、セキュリティ専門家が脆弱なソフトウェアをより効率的に理解、修正、回避できるようにする目的で、National Cybersecurity FFRDCを運営・維持しています。

現在、CVEは、ClearSkyが「Fox Kitten Campaign」と呼ぶ、イランに支援されたグループ「APT34-OilRig」「APT33-Elfin」「APT39-Chafer」などのハッカーグループによって悪用されているようです。

Fox Kittenでは、OilRigなどのAPTが、Pulse Secure "Connect" VPN(CVE-2019-11510)、Fortinet FortiOS VPN(CVE-2018-13379)、Palo Alto Networks "Global Protect" VPN(CVE-2019-1579)などについて公表された既知の脆弱性を利用しています。これらのCVEそれぞれについて、攻撃者はVPNソフトウェアの欠陥を通じて、さまざまなネットワーク機能への未認証アクセスを取得することができます。

例えば、CVE-2019-11510では、"認証されていないリモートの攻撃者が、特別に細工したURIを送信して任意のファイルの読み取りを実行できる "とあります。つまり、VPNを特定し、特定のUniform Resource Identifierを送信することで、ハッカーはVPNにログインすることなく、VPNで保護されているはずのファイルを読み出すことができるのです。

さらに、イランのAPTグループは、CVEが公開された日から数時間から1~2週間という比較的短い期間で、1日の脆弱性を悪用することができました。イランのグループは、新たに発見された脆弱性を悪用する方法を考案し、その方法論を標的のVPNに適用することができます。これは、標的のVPNを迅速に特定する高度な能力を示唆しています。

なぜVPNは狙われやすいのか

VPNの優れた点は、インターネット上のどこからでも、安全でセキュアな情報やプライベートな通信への出入り口として機能することです。これは、VPNが固定されたグローバルIPアドレスとオープンな通信ポートを持つゲートウェイを持ち、従業員や信頼できるユーザーがネットワークへの入り口を見つけ、理論的には、安全なキーを使用して認証し、内部の信頼できるスペースに通過することができるために可能なのです。

Fox Kittenキャンペーンに関与したAPTのように、ハッカーがVPNゲートウェイの既知のグローバルIPアドレスとCVEを組み合わせ、認証プロセスを回避してVPN内部のリソースにアクセスする場合、この便利さは暗い方向へと向かいます。

VPN がホストされているグローバルなパブリック IP アドレスに存在するオープンポートが、現在のセキュリティ上のジレンマの根本的な原因です。VPNサーバは、ルーティング可能なグローバルIPアドレスに存在し、正規のユーザが接続を開始し、ユーザ名とパスワードでログインできるオープンポートを提供しなければならないと定義されている。問題は、オープン・ポートが未承諾のインバウンド・トラフィックに対して脆弱であるということです。誰でも接続を開始できるため、悪意のある第三者は、盗んだ認証情報を使用したり、ブルートフォースでログインを推測しようとしたり、ソーシャルエンジニアリングの手法を利用したり、VPNサーバー・ソフトウェアのバグを悪用してネットワークにアクセスすることができます。

remote.itがポート開放の脆弱性を解消する

remote.itは、ポートフォワーディングとグローバルIPアドレスに関連する永続的なセキュリティ問題の解決を求めるネットワーク業界のベテランによって作成されました。インターネット上のデバイス、特にリモートアクセスを目的としたオープンポートを持つデバイスは、最近まで、TCP/IPネットワークが誕生して以来、必要かつ不可避と思われるセキュリティ上の妥協点となっていました。

パブリックなグローバルIPアドレスを持つゲートウェイをユーザーが見つけ、オープンなポートを使ってログインすることに依存しないプライベートネットワークを構築すれば、ハッカーがネットワークに侵入するために使用する主要な攻撃対象を排除することができます。

remote.it の VPI (Virtual Private Internet) ソリューションは、VPN ゲートウェイが正規のユーザーからインターネット上で 100% 到達可能でありながら、オープンポートがなくなっており、ゲートウェイが正規のユーザー以外から完全に見えないプライベートネットワークを構築します。このように、remote.it は、既存の VPN ソフトウェアを変更することなく、世界中の VPN のインストールベース全体における第一の脆弱性に対処しています。

VPI は、既存の TCP/IP ネットワーク上でネットワーク・オーバーレイとして動作し、プライベート認証とプライベート・ネットワーク・ルーティングを可能にします。VPI 上のデバイスは、VPN にアクセスするときと同じように、VPI 内のリソースへのアクセスを管理することができます。違いは、ユーザーやデバイスのアカウントごとにパーミッションが定義されていることです。VPN のように、ハッカーが認証を回避して「すべてにアクセス」することはできませんし、特定のネットワーク・デバイスを狙うこともできません。

オープンポートをなくす

あなたのオンライン・セキュリティは、従来のVPNが常にそうであったからといって、インターネット上に恒久的な攻撃面を持つべきではありません。ネットワークへの新しいアプローチは、企業がremote.it.の仮想プライベートインターネットのような革新的なセキュリティソリューションを作成することを可能にしています。

remote.itは、開発者向けには無料で、企業向けにはライセンスと導入が簡単に行えます。クイックスタートプロセスにより10分で開始でき、200K以下のネットワークデーモンをインストールすることで、あらゆるデバイスをremote.itで有効にすることができます。IoTデバイスの小規模および大規模な一括登録と管理をサポートします。

remote.itの無料アカウントを作成する


関連ブログ