画像提供:マイナビニュース

写真拡大

United States Computer Emergency Readiness Team (US-CERT)は10月16日(米国時間)、「Multiple Vulnerabilities in Pulse Secure VPN|CISA」において、Pulse Secure Virtual Private Network (VPN)に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。

脆弱性に関する情報は次のページにまとまっている。

VU#927237 - Multiple vulnerabilities in Pulse Secure VPN

Public KB - SA44101 - 2019-04: Out-of-Cycle Advisory: Multiple vulnerabilities resolved in Pulse Connect Secure / Pulse Policy Secure 9.0RX

NATIONAL SECURITY AGENCY - CYBERSECURITY ADVISORY - MITIGATING RECENT VPN VULNERABILITIES

Vulnerabilities in Multiple VPN Applications|CISA

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Pulse Connect Secure 9.0RX

Pulse Connect Secure 8.3RX

Pulse Connect Secure 8.2RX

Pulse Connect Secure 8.1RX

Pulse Policy Secure 9.0RX

Pulse Policy Secure 5.4RX

Pulse Policy Secure 5.3RX

Pulse Policy Secure 5.2RX

Pulse Policy Secure 5.1RX

Pulse SecureのVPNプロダクトに脆弱性が存在することは2019年3月に明らかになっており、4月には修正を含むアップデートが提供されている。セキュリティ関連機関はユーザーや管理者に対し、このパッチの適用を呼びかけていた。

しかし、実際にはパッチを当てていない脆弱性の存在するバージョンが運用されており、持続型標的型攻撃の対象になっていることが確認された。こうした攻撃に対して注意喚起を行う目的で、再度このプロダクトのユーザーに対して警告が行われたものと見られる。

この脆弱性は回避する方法が存在せず、パッチが適用されたバージョンへアップグレードするしか解決方法がないと言われている。該当するプロダクトを使用している場合は迅速にアップデートを適用することが望ましい。