中国国家の支援を受けているハッカー集団とみられるAPT5は、エンタープライズ向けサイバーセキュリティ企業であるフォーティネットとパルスセキュアが販売するエンタープライズ向けVPNサーバーを標的としています。両社の顧客の一部はVPNサーバーの更新を遅れ、8月のBlack Hatカンファレンスで明らかになった複数のセキュリティ脆弱性の影響を受ける事態に陥っていました。
パッチ未適用のFortinet、Pulse Secure VPNサーバーが影響を受ける
ZDNetが今週報じたように、セキュリティコンサルティング会社Devcoreの研究者らは、Palo Alto NetworksのGlobalProtect、Fortinet FortiGate(FortiOS)、Pulse SecureのPulse Connect Secure(PCS)、Pulse Policy Secure(PPS)といったVPNサービスに複数の脆弱性が見つかったと発表しました。これらの脆弱性には、認証バイパス、コマンドインジェクション、セッションハイジャック、クロスサイトスクリプティングなどが含まれています。
研究者らは事前にベンダーにバグについて伝えていたため、Pulse Securityは4月に顧客にパッチを送り始め、Fortinetは5月にパッチを送った。
しかし、多くのソフトウェアアップデートと同様に、すべてのユーザーがアプリケーションクライアントをすぐにアップデートしたわけではありませんでした。そのため、中国のグループはインターネットをスキャンし、脆弱なままのVPNサーバーを探し出し、ハッキングすることができました。
フォーティネットの顧客の一部はソーシャルメディア上で、パッチが利用可能であることすら知らなかったと述べており、フォーティネット側のコミュニケーション不足の可能性を指摘している。
Pulse Securityは、この脆弱性について顧客への連絡に非常に積極的に取り組んでいたようです。8月中旬に脆弱なサーバーをスキャンしたところ、Pulse SecurityのVPNサーバーの約3分の1(42,000台中14,500台)が依然として脆弱な状態にあることが判明しました。2週間後には、10,500台が依然として脆弱な状態でした。
Pulse Secureの最高マーケティング責任者、スコット・ゴードン氏は、同社が全顧客に連絡を取ろうとしたことについてZDNetに次のように語った。
「当社は、セキュリティ アドバイザリ SA44101 を公開しただけでなく、4 月のその日から、電子メール、製品内アラート、コミュニティ サイト、パートナー ポータル、カスタマー サポート Web サイトを通じて、お客様、パートナー、サービス プロバイダーにパッチの可用性と必要性について積極的にお知らせしてきました。」
さらに、Pulse Securityは、サポートエンジニアが24時間365日体制で顧客のパッチ適用を支援していると述べています。アップデートを拒否した企業は、知的財産が盗まれ、中国の競合他社に引き渡されるリスクにさらされる可能性があります。
APT5 とは誰ですか?
別のサイバーセキュリティ企業であるFireEyeによると、APT5は2007年からオンラインで活動している。このグループは実際には複数のサブグループで構成さており、それぞれが独自のツールと戦術を持っていると考えられている。
このグループは、主に通信・テクノロジー企業に加え、ハイテク製造業や軍事応用技術を開発する企業を標的としています。FireEyeによると、APT5はキーロガー機能を備えたマルウェアを使用して、通信企業の企業ネットワーク、従業員、経営陣を標的にしています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
