Synologyは、SSL VPNクライアントユーティリティの2つの大きな脆弱性に対応する緊急セキュリティアップデートを発表しました。
同社のセキュリティアドバイザリSynology-SA-26:05に詳述されている問題により、リモート攻撃者が機密システムファイルにアクセスし、安全なネットワークトラフィックを傍受される可能性があります。
Synology SSL VPNクライアントは、リモートユーザーと内部システム間の暗号化されたネットワークトンネルを確立するように設計されています。
企業で広く使用されていることを考えると、このツールの欠陥は、組織の防御を回避しようとする脅威行為者に深刻な攻撃ベクトルを提供します。
最初の脆弱性CVE-2021-47960はCVSSスコア6.5を持ち、クライアントのインストールディレクトリ内の不適切なアクセス許可に起因しています。
特定のファイルとディレクトリが外部プロセスからアクセス可能な状態のままになっており、攻撃者がシステムデータを取得できるようになっています。
ユーザーを悪意のあるウェブページを開くように誘い込むことで、攻撃者はデバイスのループバックインターフェースでリッスンするローカルHTTPサーバーを悪用できます。
これにより、攻撃者は設定データ、接続ログ、セキュリティ証明書などの機密ファイルへの読み取りアクセスが得られ、ネットワーク認証設定が事実上公開されます。
2番目の欠陥CVE-2021-47961はより深刻で、CVSSスコアは8.1です。アプリケーションのローカル設定内にユーザーパスワードを平文で保存することに起因しています。
この設計上の欠陥により、攻撃者がエクスプロイトをトリガーできる場合、ユーザーのPINコードと認証トークンを抽出または変更できます。
最初の脆弱性と同様に、この攻撃には、危険なリンクをクリックするようにユーザーをだましたり、罠が仕掛けられたウェブサイトにアクセスさせたりするなど、ある程度のユーザーインタラクションが必要です。
悪用されると、攻撃者はVPN設定を乗っ取り、暗号化されたセッションを監視したり、悪意のあるネットワークトラフィックを挿入したりして、VPN本来の目的を損なう可能性があります。
セキュリティ専門家は、両方の脆弱性が成功するためには社会工学に頼ることを指摘しており、認識と教育が重要な防御であることを意味しています。
攻撃者はフィッシングメールや偽の更新通知を使用して、被害者をエクスプロイトペイロードのトリガーに誘い込む可能性があります。
同社は、最新リリースで問題を修正し、代替の緩和策や回避策は利用できないことを強調しました。
ユーザーはSynology SSL VPNクライアントをバージョン1.4.5-0684以降にアップグレードすることを強くお勧めします。
システム管理者は、すべてのリモートエンドポイントと従業員がパッチを直ちに適用することを確認する必要があります。
古いバージョンを実行すると、企業ネットワークはデータ盗難の可能性と侵害されたVPNセッションにさらされます。
翻訳元: https://cyberpress.org/synology-ssl-vpn-client-flaw/