2019年7月以降、セキュリティ企業DEVCORE社の研究者により複数のSSL VPN製品に深刻な脆弱性が報告されました。2019年8月下旬から脆弱性を探査する動きが確認されており、既に脆弱性を悪用する攻撃も発生しているとしてJPCERT/CCやVOLEXITYにより注意喚起が行われています。ここでは関連する情報をまとめます。
深刻な脆弱性が確認されたSSL VPN製品
3社のSSL VPN製品を対象に脆弱性が確認された。
ベンダ(アドバイザリ) | 修正日・情報公開日 | 影響を受ける製品/バージョン |
---|---|---|
Paloalto Networks (PAN-SA-2019-0020) |
2019年7月18日情報公開 | ・PAN-OS 7.1.18以前 ・PAN-OS 8.0.11以前 ・PAN-OS 8.1.2以前 (PAN-OS 9.0は対象外) |
Fortinet (FG-IR-18-384) |
2018年12月11日発見者報告 2019年3月19日修正 2019年5月24日情報公開 |
以下でSSLVPNサービス有効時に影響 ・FortiOS 5.4.6~5.4.12 ・FortiOS 5.6.3~5.6.7 ・FortiOS 6.0.0~6.0.4 |
Pulse Secure (SA44101) |
2019年3月22日発見者報告 2019年4月24日修正・情報公開 |
・Pulse Connect Secure 9.0R1~9.0R3.3 ・Pulse Connect Secure 8.3R1~8.3R7 ・Pulse Connect Secure 8.2R1~8.2R12 ・Pulse Connect Secure 8.1R1~8.1R15 ・Pulse Policy Secure 9.0R1~9.0R3.3 ・Pulse Policy Secure 5.4R1~5.4R7 ・Pulse Policy Secure 5.3R1~5.3R12 ・Pulse Policy Secure 5.2R1~5.2R12 ・Pulse Policy Secure 5.1R1~5.1R15 |
対策 | 各社のアドバイザリを参考に、最新版へ更新する |
---|
発見された脆弱性一覧
ベンダ | CVE | 脆弱性の概要 | 検証コードの公開 |
---|---|---|---|
PaloAlto Networks | CVE-2019-1579 | 認証前のリモートコード実行 | PoCあり |
Fortinet | CVE-2018-13379 | 認証前に任意ファイル読取 | PoCあり |
Fortinet | CVE-2018-13380 | 認証前XSS | PoCあり |
Fortinet | CVE-2018-13381 | 認証前HeapOverFlow | PoCあり |
Fortinet | CVE-2018-13382 | 不適切な認証 | magicの発見 |
Fortinet | CVE-2018-13383 | 認証後HeapOverFlow | PoCあり |
Pulse Secure | CVE-2019-11510 | 認証前の任意のファイル読取 | PoCあり |
Pulse Secure | CVE-2019-11542 | 認証後(管理者権限)のスタックバッファオーバーフロー | PoCあり |
Pulse Secure | CVE-2019-11539 | 認証後(管理者権限)のコマンドインジェクション | PoCあり |
Pulse Secure | CVE-2019-11538 | 認証後(ユーザー権限)のNFS経由の任意のファイル読取 | PoCあり |
Pulse Secure | CVE-2019-11508 | 認証後(ユーザー権限)のNFS経由の任意のファイル書込 | PoCあり |
Pulse Secure | CVE-2019-11540 | 認証後のクロスサイトスクリプトインクルージョン | PoCあり |
Pulse Secure | CVE-2019-11507 | 認証後クロスサイトスクリプティング | PoCあり |
- SSLVPNの複数の脆弱性はベンダへ事前に調整が行われ公開された。
- PaloAltoの脆弱性は内部で確認されたもので、最新版では修正されていた。
- Fortinetのmagicバックドアは認証無しパスワードリセットを可能とする秘密鍵として使用される。文字列は既に他の研究者により公開されている。
脆弱性検証動画
- Fortinet CVE-2018-13379/CVE-2018-13382
- Pulse Secure CVE-2019-11510/CVE-2019-11539
- Pulse Secure CVE-2019-11542
CVE-2019-11542 is a nice (post-auth) stack buffer overflow in Pulse Secure VPN.
— Rich Warren (@buffaloverflow) September 4, 2019
❌ no ASLR
❌ no NX
✅ remote root
great find by @orange_8361 & @mehqq_ pic.twitter.com/SekpmxcMai
脆弱性をめぐる経緯
7月より順次公開されたレポート
同社のブログなどに2019年7月以降3回にわたって脆弱性に関する情報が投稿された。
- Attacking SSL VPN - Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!
- Attacking SSL VPN - Part 2: Breaking the Fortigate SSL VPN
- Attacking SSL VPN - Part 3: The Golden Pulse Secure SSL VPN RCE Chain, with Twitter as Case Study!
この詳細は2019年8月に開催されたBlackhat USA 2019、Defcon 27で発表が行われた。
- Blackhat USA Infiltrating Corporate Intranet Like NSA - Pre-auth RCE on Leading SSL VPNs
- Infiltrating Corporate Intranet Like NSA ̶Pre-auth RCE on Leading SSL VPNs
2名の研究者はバグバウンティプログラムを行っている次の2社を対象にケーススタディ(脆弱性の検証)を行った。
検証対象 | 検証されたSSL VPN製品 | 成果 |
---|---|---|
Uber | PaloAlto | AWSのUberドメインでリモートコードの実行 |
Pulse Secure | イントラネットへの侵入、Twitterドメインでリモートコードの実行 |
(1)Uberへのハッキング検証
- Orange Tsai氏の調査でUberでは22台のPaloAltoのVPNサーバーが稼働していることを確認した。
- 例で取り上げられたのは
vpn.awscorp.uberinternal.com
- ログインページを通じて8.x系のバージョンの利用を確認。
- AWS marketplaceのBYOL利用からさらにバージョンを推定し、最終的に8.0.6であることを確認した。
- 脆弱性を使ってUberの特定のドメイン化に「hacked.txt」の設置に成功した。
- Orange Tsai氏はUberにバグバウンティプログラムを通じて報告を行った。
- Uber側からは認証前のリモートコード実行の影響を受けたことを認めるとともに、以下の理由から全体的な影響度と優位性は低いと判断したことを回答。
- 従業員の大半が利用しているプライマリVPNとは異なること
- コアインフラ基盤ではないことから社内システムやコアサービスへアクセスができないこと
- Orange Tsai氏はUber側の判断を公正な決定と評価。氏も研究プロセス全体を楽しんでおり、かつセキュリティコミュニティへのフィードバックを行っているとして、報奨金は気にしていないとコメント。
(2)Twitterへのハッキング検証
- Orange Tsai氏はTwitterに対しPulse Secureの脆弱性の検証を行った。その顛末は先ほどのOrange Tsai氏公開の記事、Hacker Oneのレポートに記載されている。
- Orange Tsai氏はパッチ直後に検証するのは不適切だとして30日間待機。実際にTwitter社へハッキング検証の調査を行ったのはPulse Secureがパッチを公開した2019年4月24日より1か月後の5月28日。
- Orange Tsai氏はTwitter社へバグバウンティプログラムを通じて報告を行い、6月12日に20,160ドル(約215万円相当)の報奨金を獲得している。
- Orange Tsai氏はTwitter社へのハッキングに際し、いくつかの壁に衝突したと報告している。
ハッキング時に直面した問題 | Orange Tsai氏の対応 |
---|---|
Twitter社員のプレーンテキストは取得できたが2FAが使用されておりSSL VPNへログインできず | Twitter社が使用するDUOに注目し、DUO APIを使用して2FAをバイパスした。 さらに別のアプローチとしてセッションローミング機能に注目し、セッションDBを取得した後にCookieを偽造してシステムへログインした。 |
管理ページが制限されておりアクセスができなかった | WebVPN機能を用いて自分自身に接続するSSRFを介してインターフェースに接続した。 |
管理パスワードが平文ではなくハッシュだった | 72コアのAWS環境を使ってハッシュを解読した。 管理ソフトにポリシーが適用されていないらしく、文字長は10文字で3時間でクラック出来た。 |
脆弱性情報公開後のスキャンの発生
Pulse Seucre (CVE-2019-11510)
- 脆弱性を探査する動き(スキャン)が8月21日以降断続的に観測されている。
- 脆弱性を悪用した攻撃が発生したとJPCERT/CCが外部組織より入手。
- JPCERT/CCは脆弱性残存ホストの管理者に対し連絡を開始している。
- この脆弱性の影響を受ける日本国内のホスト数はBAD PACKETSの調査では第二位の多さ。
- サーバーのアップデートの状況だけ見ると日本は動きが鈍い。
観測日 | 脆弱性が残存する国内のホスト数 |
---|---|
2019年8月24日 | 1,511件 |
2019年8月31日 | 1,381件(前回より130件減) |
2019年9月9日 | 1,198件(前回より183件減) |
Fortinet(CVE-2018-13379)
- 脆弱性を探査する動き(スキャン)が8月21日以降断続的に観測されている。
関連情報
JPCERT/CC
tenable
VOLEXITY
- Vulnerable Private Networks: Corporate VPNs Exploited in the Wild
VOLEXITYが8月観測したスキャン、悪用活動に関連が認められたIPアドレスは以下の通り。
104.217.128.133
185.163.46.141
185.200.116.203
192.126.124.26
23.152.0.247
27.102.70.150
37.120.150.98
5.157.10.2
5.197.149.19
5.254.81.170
5.254.81.178
94.242.246.46
Alyssa Herrera氏らのWriteUp
更新履歴
- 2019年9月9日 AM 新規作成
- 2019年9月9日 PM BAD PACKETSの観測情報を更新
- 2019年9月13日 AM VOLEXITTYの情報を追加