Cisco VPNハッキング事例からみた企業のSSL VPN再点検の必要性

ほとんどの企業は在宅勤務・テレワークのためにSSL VPNを使います。SSL VPNを通じると企業の社内ネットワークにアクセスが可能になるため、許可された職員と認証された者だけアクセスできるようにするのが一般的で、ハッカーもSSL VPNをハッキングすると企業の内部に侵入できるということをよく知っています。従って、ほとんどのSSL VPNはID・PWという一次元的な認証体系以外にMFA（多要素認証）を追加的に設定し、ID・PWが乗っ取られるとしてもSSL VPNログインはできないよう措置しています。事実上、この内容は企業の勧告事項のレベルではなく、修行しなければならない必須事項だと言えます。

疎かなセキュリティ設定でハッキングされたCisco SSL VPN

しかし、思ったよりSSL VPNにMFAが設定されていないところが以外と多く、その中でも世界的に最も多くのユーザーを持つCisco ASAのイシューが最近浮き彫りになっています。Cisco ASAはSSL VPNを提供するアプライアンスで、ファイアウォールとSSL VPN機能を同時に提供しています。最近Rapid7が発表したCisco ASAファイアウォールのSSL VPNハッキングイシューによると、ハッカーはMFAが反映されていないCisco VPNにクレデンシャルスタッフィング攻撃などの総当たり攻撃を利用してSSL VPNを攻撃し、企業の内部に侵入する事件が発生しているそうです。

Rapid7によると、最近11件の侵害インシデントのイシューはセキュリティ設定が疎かなCisco SSL VPNのため始まった攻撃だそうです。

SSL VPNを通じて社内ネットワークに侵入できたハッカーは、テレワークをする職員と同じ権限を持ち、内部のWindowsサーバー等の多様なシステムにアクセスして企業の内部を暴きながらAkira、LockBitグループのランサムウェアを企業の内部に配布したといいます。

<Criminal IPで"ssl vpn"を検索すると、多くのSSL VPNが見つかる。

トップ製品の一覧を見るとSonicWallやZyWALLなどの数多いSSL VPNデバイスが見える>

攻撃の対象になった疎かなセキュリティ設定のSSL VPN

このハッキングは根本的にMFAが設定されていないCisco VPNを使用しているのが原因だと確認されました。また、MFAの設定が疎かになっている場合も攻撃が発生しかねません。設定が疎かな場合の例としては、マスターパスワードやデフォルトアカウントでログインする工場初期化の設定がそのまま放置されている場合があります。また、SSL VPNデバイスのセキュリティパッチの問題も原因になれます。例えば、北朝鮮のハッキングと発表された韓国原子力研究院の内部へ侵入し、ハッキングした事件もMFAは設定されていたが、セキュリティパッチが適用れていないSSL VPNの問題と判明されました。

これに関して、Cisco PSIRT（Product Security Incident Response Team）では、そのような攻撃をブロックするためには、必ずSSL VPNにMFAを設定し、Cisco ASAのセキュリティパッチを最新バージョンへのアップデートすることを勧告しました。また、Cisco ASAがデフォルトアカウントに設定されているのではないか再びチェックし、侵害事故が発生した際、攻撃のルートを分析するためにVPNにアクセスした者のロギングを活性化するべきだとも勧告しています。従って、各企業は自社で使うSSL VPNのセキュリティ点検を再度確認し、攻撃対象領域管理と共に以下のような方法を通じて定期的にチェックすることを怠ってはなりません。

以下のリストにはCisco PSIRTの勧告事項と共に、追加的な解決策も加えました。

• MFAが正常的に設定されているか点検
• デフォルトアカウントやマスターパスワードが漏洩されているのではないか点検
• 攻撃対象領域管理：SSL VPNデバイスのセキュリティアップデートの修行
• SSL VPNデバイスのロギング活性化
• SSL VPNデバイスのクレデンシャルスタッフィング攻撃防御ソリューション、FDS等の導入

RDPポート稼働の履歴が発見されたハッカーの攻撃IPアドレス

一方でRapid7が公開したハッカーの攻撃IPアドレスの中の一つである176[.]124[.]201[.]200では、今はオープンポートがないが、Criminal IPの履歴情報をもって過去のデータを分析した結果、2023-02-26にRDP（リモートデスクトッププロトコール）ポート（3389/TCP）が稼働されていたことを確認できます。

普通、RDPの場合は特定サーバーのRDPをハッキングしてからそこで他のRDPをハッキングする形に行われます（RDP Worm）。従って、このサーバーも誰かにハッキングされ、RDPポートを通じて他のボットネットサーバーと通信してきたとみられ、RDP Worm方式で他のRDPサーバーを感染させた可能性も高いです。

その一方でSSL VPNより怖いのは、SSL VPNの認証を受けなくても企業のサーバーに入られる方法であり、その中の一つはRDPを利用したリモート制御（リモートコントロール）です。従って、SSL VPNの攻撃対象領域管理と共に企業が保有するサーバーに対してRDP・SSH等のリモート制御が可能なプロトコールも攻撃対象領域管理の対象に含めて定期的に点検しなければなりません。

• https://www.criminalip.io/ja/asset/report/176.124.201.200

<Criminal IPの履歴情報機能でCisco SSL VPN攻撃IPアドレスの過去データを検索した結果>

関連しては、攻撃対象領域管理に漏洩されたKIOSKシステムの投稿をご参照ください。

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。

只今Criminal IPの無料アカウントを作成すると、レポートに引用された検索結果を自ら確認するか、より膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供：Criminal IP(https://www.criminalip.io/ja)

ご参照：