なぜこの記事を書いているのか
ある日管理しているサーバに不審なリクエストがあり、Zabbixが検知。
調べてみるとある脆弱性を突いた(大規模な)攻撃である事が分かった。
ただし、調べる過程で日本語の情報がなく、海外サイトの翻訳を余儀なくされたので、今後同様のリクエストを受け取った誰かには簡単にいち早く安心できる情報を手に入れて欲しい。
このリクエストは何か
https://twitter.com/XMPPwocky/status/1164875682553290753
最初に見つけたのはTwitterの投稿で、ここではPulseSecureにバグがあって情報取得される攻撃っぽい事を理解。
弊社ではVPNクライアントにPulseSecureを使っている事もあり、影響を受けるのか引き続き調べる。
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-004411.html
こちらはJVNで公開されている脆弱性情報。
タイトルがPulseSecureではなく、PulseConnectSecureになっている。
調べてみるとどうやらPulseConnectSecureはVPNのアクセスポイントに使われるソフトウェアらしい。
で、あれば今回アクセスのあったサーバはただのWebサーバだったので問題ないと判断。
弊社のVPNを管理している部門に問い合わせ、アクセスポイントも問題のないバージョンである事も確認でき、一安心。
意外と危険だったというお話
https://badpackets.net/over-14500-pulse-secure-vpn-endpoints-vulnerable-to-cve-2019-11510/
こちらのサイトで本件が詳しく記載されていたので、一部を引用する。
読み辛いのでGoogle翻訳結果も併記する。
原文
On Thursday, August 22, 2019, our honeypots detected opportunistic mass scanning activity from a host in Spain targeting Pulse Secure “Pulse Connect Secure” VPN server endpoints vulnerable to CVE-2019-11510. This arbitrary file reading vulnerability allows sensitive information disclosure enabling unauthenticated attackers to access private keys and user passwords. Further exploitation using the leaked credentials can lead to remote command injection (CVE-2019-11539) and allow attackers to gain access inside private VPN networks.
Google翻訳
2019年8月22日木曜日に、ハニーポットは、CVE-2019-11510に対して脆弱なPulse Secure「Pulse Connect Secure」VPNサーバーエンドポイントを対象としたスペインのホストからの日和見的な大量スキャンアクティビティを検出しました。この任意のファイル読み取りの脆弱性により、認証されていない攻撃者が秘密鍵とユーザーパスワードにアクセスできるようにする機密情報の開示が可能になります。漏洩した資格情報を使用したさらなる悪用により、リモートコマンドインジェクション(CVE-2019-11539)が発生し、攻撃者がプライベートVPNネットワーク内にアクセスできるようになります。
原文
Using data provided by BinaryEdge, we scanned 41,850 Pulse Secure VPN endpoints to ascertain which were vulnerable. On Saturday, August 24, 2019, our scans found a total of 14,528 Pulse Secure VPN endpoints vulnerable to CVE-2019-11510. No sensitive information was disclosed or recorded during our scans as we simply sent a HEAD HTTP request (unlike a GET request that downloads a file) to confirm the arbitrary file reading vulnerability was possible.
Google翻訳
BinaryEdgeから提供されたデータを使用して、41,850 Pulse Secure VPNエンドポイントをスキャンして、どちらが脆弱かを確認しました。 2019年8月24日土曜日、当社のスキャンにより、合計14,528個のPulse Secure VPNエンドポイントがCVE-2019-11510に対して脆弱であることが判明しました。任意のファイル読み取りの脆弱性が発生する可能性があることを確認するためにHEAD HTTPリクエスト(ファイルをダウンロードするGETリクエストとは異なります)を送信したため、スキャン中に機密情報は開示または記録されませんでした。
引用元には国別の脆弱性を持ったエンドポイントの数が表で記載されていて、それによると調査した段階ではアメリカに5010件、日本国内には1511件存在していたらしい。
今回アクセスを受けたのは私が見ているサーバの中では1台だけだが、無差別にリクエストを送っているのであれば、偶然被害を受けたエンドポイントも存在しそう。
また、この脆弱性を突いた攻撃方法は脆弱性の概念実証コードとしてWeb上に公開されているため悪用しやすい。
現に後日同様のリクエストが管理している別のサーバ宛てに届いていた。
今後も公開されているコードを悪用したリクエストは誰かの所に届くかもしれないが、そのサーバがPulseSecureのアクセスポイントでないのであれば、情報取得されていないと安心できる。といいなぁ。