本日もCheck Pointの記事が目に止まりました。
昨日の記事では、安全でないパスワードを使ったログイン試行がされているという内容ですが、今回はゼロデイを使った攻撃です。
「この脆弱性により、攻撃者はリモートアクセスVPNまたはモバイルアクセスが有効になっているインターネット接続ゲートウェイ上の特定の情報を読み取ることができる可能性がある」と記事では言及されています。
この脆弱性に対しての修正プログラムがリリースされています。さらにこれを適用すると、弱い資格情報を使ったログイン試行をブロックします。
checkpoint社はこの攻撃は、5月24日に始まったと公表していますが、サイバーセキュリティ企業のmnemonicは4月30日以降、一部の顧客環境で悪用の試みが見られたと警告しています。
同社はこの脆弱性をparticularly criticalと位置付けています。
この脆弱性により、ADへの接続に使用されるアカウントを含むすべてのローカルアカウントのパスワードハッシュを抽出できると公表されています。
弱いパスワードはハッシュであっても、侵害される可能性があるのでこの脆弱性の影響度は極めて高いといえます。
対策としては以下
・パッチ適応
・セキュリティゲートウェイ上の脆弱なパスワードを使用しているアカウントを削除する
・ADへのLDAP接続に注目し異常な動作がないかチェックする
VPN脆弱性のニュースはいつもヒヤヒヤします。既に悪用実績があるのでcheckpointを使用しているユーザーは早めに対処する必要があります。
