CERT が発表した VPN アプリケーションの脆弱性のウォッチガード製品への影響
2019 年 4 月 24 日 Marc Laliberte 著
脆弱性の概要
カーネギーメロン大学の CERT Coordination Center が 4 月 14 日に発表した脆弱性勧告 VU#192371 によって、複数のベンダのモバイル VPN クライアントにセキュリティ脆弱性が存在することがわかりました。
これらの脆弱性はいずれも、認証およびセッションの情報の安全ではない方法での保存に起因するものです。この脆弱性を報告した研究者たちは、一部の VPN クライアントでセッション Cookie が暗号化せずにログファイルやメモリに保存されていることを発見しました。VPN セッションが進行中のシステムにアクセスした攻撃者が、有効なセッション情報をメモリまたはログファイルから取得し、そのセッションをリプレイすることで、有効な VPN 接続を開始する可能性があります。
ウォッチガード製品への影響
ウォッチガードは、SSL のモバイル VPN クライアントと IPSec のモバイル VPN クライアントの 2 つの異なるモバイル VPN クライアントを使用していますが、いずれも CERT によって今回発表された問題は存在せず、脆弱性は存在しません。
SSL のモバイル VPN
SSL のウォッチガードモバイル VPN クライアントは、オープンソースの OpenVPN クライアントと認証ラッパの組み合わせによって、Firebox からの OpenVPN 構成プロファイルの安全なダウンロードを保証します。OpenVPN クライアントもウォッチガードの認証ラッパのいずれも、この脆弱性の影響を受けません。
IPSec のモバイル VPN
ウォッチガードは NCP と提携し、IPSec のモバイル VPN クライアントを提供しています。このクライアントは、ネットワークの中断によるセッションの再確立に備えて、メモリ内に安全にセッション情報を保持するよう設計されています。IPSec セッションは IP アドレスにバインドされますが、認証リプレイ攻撃から保護されます。