piyolog

2019年7月以降、セキュリティ企業DEVCORE社の研究者により複数のSSL VPN製品に深刻な脆弱性が報告されました。2019年8月下旬から脆弱性を探査する動きが確認されており、既に脆弱性を悪用する攻撃も発生しているとしてJPCERT/CCやVOLEXITYにより注意喚起が行われています。ここでは関連する情報をまとめます。

深刻な脆弱性が確認されたSSL VPN製品

3社のSSL VPN製品を対象に脆弱性が確認された。

ベンダ（アドバイザリ）	修正日・情報公開日	影響を受ける製品／バージョン
Paloalto Networks （PAN-SA-2019-0020）	2019年7月18日情報公開	・PAN-OS 7.1.18以前・PAN-OS 8.0.11以前・PAN-OS 8.1.2以前（PAN-OS 9.0は対象外）
Fortinet （FG-IR-18-384）	2018年12月11日発見者報告 2019年3月19日修正 2019年5月24日情報公開	以下でSSLVPNサービス有効時に影響・FortiOS 5.4.6～5.4.12 ・FortiOS 5.6.3～5.6.7 ・FortiOS 6.0.0～6.0.4
Pulse Secure （SA44101）	2019年3月22日発見者報告 2019年4月24日修正・情報公開	・Pulse Connect Secure 9.0R1～9.0R3.3 ・Pulse Connect Secure 8.3R1～8.3R7 ・Pulse Connect Secure 8.2R1～8.2R12 ・Pulse Connect Secure 8.1R1～8.1R15 ・Pulse Policy Secure 9.0R1～9.0R3.3 ・Pulse Policy Secure 5.4R1～5.4R7 ・Pulse Policy Secure 5.3R1～5.3R12 ・Pulse Policy Secure 5.2R1～5.2R12 ・Pulse Policy Secure 5.1R1～5.1R15

対策	各社のアドバイザリを参考に、最新版へ更新する

発見された脆弱性一覧

ベンダ	CVE	脆弱性の概要	検証コードの公開
PaloAlto Networks	CVE-2019-1579	認証前のリモートコード実行	PoCあり
Fortinet	CVE-2018-13379	認証前に任意ファイル読取	PoCあり
Fortinet	CVE-2018-13380	認証前XSS	PoCあり
Fortinet	CVE-2018-13381	認証前HeapOverFlow	PoCあり
Fortinet	CVE-2018-13382	不適切な認証	magicの発見
Fortinet	CVE-2018-13383	認証後HeapOverFlow	PoCあり
Pulse Secure	CVE-2019-11510	認証前の任意のファイル読取	PoCあり
Pulse Secure	CVE-2019-11542	認証後（管理者権限）のスタックバッファオーバーフロー	PoCあり
Pulse Secure	CVE-2019-11539	認証後（管理者権限）のコマンドインジェクション	PoCあり
Pulse Secure	CVE-2019-11538	認証後（ユーザー権限）のNFS経由の任意のファイル読取	PoCあり
Pulse Secure	CVE-2019-11508	認証後（ユーザー権限）のNFS経由の任意のファイル書込	PoCあり
Pulse Secure	CVE-2019-11540	認証後のクロスサイトスクリプトインクルージョン	PoCあり
Pulse Secure	CVE-2019-11507	認証後クロスサイトスクリプティング	PoCあり

SSLVPNの複数の脆弱性はベンダへ事前に調整が行われ公開された。
PaloAltoの脆弱性は内部で確認されたもので、最新版では修正されていた。
Fortinetのmagicバックドアは認証無しパスワードリセットを可能とする秘密鍵として使用される。文字列は既に他の研究者により公開されている。

脆弱性検証動画

Fortinet CVE-2018-13379／CVE-2018-13382

www.youtube.com

Pulse Secure CVE-2019-11510／CVE-2019-11539

www.youtube.com

Pulse Secure CVE-2019-11542

CVE-2019-11542 is a nice (post-auth) stack buffer overflow in Pulse Secure VPN.

❌ no ASLR
❌ no NX
✅ remote root

great find by @orange_8361 & @mehqq_ pic.twitter.com/SekpmxcMai
— Rich Warren (@buffaloverflow) September 4, 2019

脆弱性をめぐる経緯

2名の発見者

DEVCORE社の次の2名により複数のSSL VPN製品の脆弱性が発見された。

Orange Tsai氏（@orange_8361）
Meh Chang氏（@mehqq_）

7月より順次公開されたレポート

同社のブログなどに2019年7月以降3回にわたって脆弱性に関する情報が投稿された。

この詳細は2019年8月に開催されたBlackhat USA 2019、Defcon 27で発表が行われた。

2名の研究者はバグバウンティプログラムを行っている次の2社を対象にケーススタディ（脆弱性の検証）を行った。

検証対象	検証されたSSL VPN製品	成果
Uber	PaloAlto	AWSのUberドメインでリモートコードの実行
Twitter	Pulse Secure	イントラネットへの侵入、Twitterドメインでリモートコードの実行

（１）Uberへのハッキング検証

Orange Tsai氏の調査でUberでは22台のPaloAltoのVPNサーバーが稼働していることを確認した。
例で取り上げられたのはvpn.awscorp.uberinternal.com
ログインページを通じて8.x系のバージョンの利用を確認。
AWS marketplaceのBYOL利用からさらにバージョンを推定し、最終的に8.0.6であることを確認した。
脆弱性を使ってUberの特定のドメイン化に「hacked.txt」の設置に成功した。
Orange Tsai氏はUberにバグバウンティプログラムを通じて報告を行った。
Uber側からは認証前のリモートコード実行の影響を受けたことを認めるとともに、以下の理由から全体的な影響度と優位性は低いと判断したことを回答。
- 従業員の大半が利用しているプライマリVPNとは異なること
- コアインフラ基盤ではないことから社内システムやコアサービスへアクセスができないこと
Orange Tsai氏はUber側の判断を公正な決定と評価。氏も研究プロセス全体を楽しんでおり、かつセキュリティコミュニティへのフィードバックを行っているとして、報奨金は気にしていないとコメント。

（２）Twitterへのハッキング検証

Orange Tsai氏はTwitterに対しPulse Secureの脆弱性の検証を行った。その顛末は先ほどのOrange Tsai氏公開の記事、Hacker Oneのレポートに記載されている。
Orange Tsai氏はパッチ直後に検証するのは不適切だとして30日間待機。実際にTwitter社へハッキング検証の調査を行ったのはPulse Secureがパッチを公開した2019年4月24日より1か月後の5月28日。
Orange Tsai氏はTwitter社へバグバウンティプログラムを通じて報告を行い、6月12日に20,160ドル（約215万円相当）の報奨金を獲得している。
Orange Tsai氏はTwitter社へのハッキングに際し、いくつかの壁に衝突したと報告している。

ハッキング時に直面した問題	Orange Tsai氏の対応
Twitter社員のプレーンテキストは取得できたが2FAが使用されておりSSL VPNへログインできず	Twitter社が使用するDUOに注目し、DUO APIを使用して2FAをバイパスした。さらに別のアプローチとしてセッションローミング機能に注目し、セッションDBを取得した後にCookieを偽造してシステムへログインした。
管理ページが制限されておりアクセスができなかった	WebVPN機能を用いて自分自身に接続するSSRFを介してインターフェースに接続した。
管理パスワードが平文ではなくハッシュだった	72コアのAWS環境を使ってハッシュを解読した。管理ソフトにポリシーが適用されていないらしく、文字長は10文字で3時間でクラック出来た。