VPN のポスト・エクスプロイト:Ivanti と FortiGate を例として狡猾な手口を解説する – Akamai

Akamai Unveils New VPN Post-Exploitation Techniques: Major Vulnerabilities Discovered in Ivanti and FortiGate VPNs

2024/08/12 SecurityOnline — Virtual Private Network (VPN) サーバを侵害した脅威アクターが、さらに攻撃を拡大させる可能性のある一連の脆弱性とテクニックを、Akamai の研究者たちが明らかにした。この分析では、人気の高い VPN 製品である、Ivanti Connect Secure と FortiGate VPN で発見された脆弱性に焦点を当てる。これらの調査結果が浮き彫りにするのは、いったん侵害された VPN サーバが、重要なネットワーク資産へのゲートウェイとして機能し、組織のインフラ全体のセキュリティを脅かす可能性である。


VPN サーバはインターネットにアクセスしやすいが、その一方で攻撃対象範囲を広げるものであり、以前からサイバー犯罪者の標的となってきた。歴史的に見て、攻撃者たちは主に VPN サーバを悪用し、内部ネットワークへのイニシャル・アクセスを試みてきたという経緯がある。しかし、Akamai の最新調査は、VPN を悪用するポスト・エクスプロイト技術の未開拓な領域を探ることで、従来の見解に挑戦している。

このレポートによると、VPN サーバへの侵入に成功した攻撃者は、さまざまな方法を用いて特権を拡大し、持続性を維持し、他の重要なネットワーク資産に移行してきたとされる。これらの “living off the VPN” と総称されるテクニックにより、攻撃者は複雑なカスタム・インプラントに頼ることなく、VPN サーバの既存の機能を悪用することで、さまざまな資産にアクセスできるようになる。

Akamai の研究者たちは、Ivanti Connect Secure/FortiGate VPN に影響を及ぼす2件の深刻な脆弱性を特定した。これらの脆弱性には、すれにベンダーにより CVE が割り当てられている:

  • CVE-2024-37374:Ivanti Connect Secure には、ハードコードされた暗号鍵の問題があり、VPN コンフィグ・ファイルに保存された機密情報を、解読される可能性がある。
  • CVE-2024-37375:Ivanti Mobile Device Management (MDM) には、平文によるパスワード操作の脆弱性があり、認証情報を取得される可能性がある。

これらの脆弱性以外にも、VPN サーバ上での完全なリモート・コード実行 (RCE) を必要とせずに、認証情報の漏洩/機密データの取得/権限昇格などに悪用できる、一連の修正不要のテクニックを、研究者たちは発見した。

The decryption process of an Ivanti password in an attacker lab environment
Image: Akamai

Ivanti は脆弱性を認めて CVE を割り当てたが、Fortinet は説明されている問題の修正は不要だと結論づけた。さらに、追加の検討の結果として Fortinet は、カスタム暗号化キーのバイパスについては、”セキュリティの境界を越えるものではない” として、対処しないことを決定した。

このレポートから得られた重要な洞察の1つは、VPN の管理インターフェイスを悪用して目的を達成する、攻撃者たちの能力である。認証バイパスの脆弱性やフィッシング攻撃などにより、管理インターフェイスにアクセスすることで、脅威アクターたちは VPN サーバの設定を操作し、認証情報を取得し、悪意のアクションを実行できる。

このレポートが示す例としては、攻撃者がセキュアな設定を平文通信にダウングレードすることで、LDAP (Lightweight Directory Access Protocol) の認証情報が傍受され、平文パスワードの取得にいたるという方法が紹介されている。さらに、攻撃者は不正な認証サーバを登録し、ユーザーや管理者から送信された認証情報を取得し、認証プロセスを実質的に乗っ取ることも可能だという。

Akamai の調査において最も懸念されたのは、VPN コンフィグ・ファイルに保存された秘密の復号化だと思われる。Ivanti と FortiGate の VPN は、ユーザー・パスワードやサービスアカウントの認証情報などの機密情報を、暗号化した形でコンフィグ・ファイルに保存していることが判明した。さらに、これらのデバイスが採用している暗号化方法には、欠陥が存在することも判明している。

FortiGate では、ハードコードされた単一のキーを使用して、すべての機密情報が暗号化されており、さらに、このキーが、すべての FortiGate アプライアンスで共有されていることが判明した。以前の脆弱性 CVE-2019-6693 に対応する修正プログラムが実装されているが、依然として多くの FortiGate デバイスは、デフォルトのキーを使用しており、復号化攻撃に対して脆弱な状態になっている。管理者がキーを変更した場合であっても、VPN サーバを制御する攻撃者であれば、暗号化をデフォルトのキーに戻すことができるため、機密データを簡単に抜き取ることが可能となる。

Akamai のレポートで明らかになったことは、VPN サーバの導入/管理における強固なセキュリティ慣行の重要性である。ユーザー組織は、VPN サーバが攻撃者にとって魅力的な標的であることを想定し、事後的な搾取手法に関連するリスクを軽減するための、積極的な対策を講じる必要がある。

VPN という境界防御が突破された後に、攻撃者たちが試行するテクニックと、そこから生じる被害について、Akamai が詳細なレポートを作成してくれました。ぜひ、原文も、ご参照ください。事例に挙げられた、Ivanti と FortiGate がチョット可哀想ですが、致し方ないですね。よろしければ、VPN で検索も、ご利用ください。