画像提供:マイナビニュース

写真拡大

Malwarebytesは10月18日(米国時間)、「Pulse VPN patched their vulnerability, but businesses are trailing behind - Malwarebytes Labs|Malwarebytes Labs」において、PSSL-VPN製品「Pulse Connect Secure」およびネットワークアクセス制御製品「Pulse Policy Secure」をアップデートせずに、脆弱性が存在するバージョンを使い続けている企業が多数存在すると指摘した。

このプロダクトには認証バイパスという深刻な問題が存在していたことが知られている。すでに脆弱性の修正されたバージョンが公開されているものの、Malwarebytesは多くの組織がアップデートを適用することのないままシステムを運用していると警鐘を鳴らしている。

Palo Alto Networksは2019年4月の時点でこの脆弱性を発表しており、United States Computer Emergency Readiness Team (US-CERT)などもこの問題を取り上げている。しかし、半年経っても問題は収束せず、US-CERTは再び警告を発表する状況になっている。

US-CERTに続き、MalwarebytesもPulse VPNの脆弱性対応状況について指摘。Bad Packetsが実施したスキャン結果を取り上げ、2019年8月24日の段階で14528個のPulse Secure VPNのエンドポイントにこの脆弱性が存在していたと説明。1週間後には10471個、2019年9月16日には7712個、2019年10月7日においても依然として6018個のエンドポイントに脆弱性が存在していると指摘している。

Malwarebytesは同様の脆弱性はPulseのプロダクトのみならず、FortinetおよびPalo Altoのプロダクトにも存在していると説明し、注意を呼びかけている。FortinetおよびPalo AltoのVPNプロダクトに同様の問題が存在していることはPulseと同じく2019年4月に発表されている。