Pulse Secure VPN zero-day used to hack defense firms, govt orgs
2021/04/20 BleepingComputer — Pulse Secure は、Pulse Connect Secure (PCS) SSL VPN アプライアンスに存在する、ゼロデイ攻撃の対象となる認証バイパス脆弱性の緩和策を発表した。この脆弱性は、グローバル企業への攻撃や、US Defense Industrial base (DIB) のネットワークに対する攻撃に悪用されている。
CVE-2021-22893 として追跡されている脆弱性 (CVSS 10) を緩和するために、PCS 9.0R3 以降を使用しているゲートウェイを、9.1R.11.4 にアップグレードすることを、同社は推奨している。また、回避策として、本日に公開されたセキュリティ・アドバイザリー従って、Windows File Share Browser と Pulse Secure Collaboration を無効にすることで、一部のゲートウェイでは、この脆弱性を軽減することができるとしている。また、Pulse Secure は、顧客のシステムが影響を受けているかどうかを判断するための、Pulse Connect Secure Integrity Tool も公開している。この問題を解決するためのセキュリティ・アップデートは、5月上旬にリリースされる予定とのことだ。
この SSL-VPN に関連する脆弱性は、2019年から問題だとされてきたものです。そして、問題を大きくしている要因は、脆弱性が見つけて開示すること以上に、脆弱性が放置されることにあります。管理できない VPN 装置は、ただちに撤去すべきものなのかもしれません。さらに言うなら、VPN に依存するアーキテクチャから、Zero Trust への移行を進めるべきです。いきなり全てをといっても、それは難しいでしょうが、できるところから段階的に移行していくという考え方が、これからの主流になると思われます。
IoT OT Security News 