SSL-VPN装置でユーザ名とパスワードでログイン設定でセッションハイジャックされる可能性

多くの企業でテレワークを導入していると思いますが、導入することでリモートワークが実現できる反面、セキュリティをこれまで以上に気を付ける必要があります。中小企業は攻撃されないと思っている人もいますが、そうではなく、大手企業以外もマルウェアに感染するリスクはもちろん、攻撃される可能性があります。

実際にハニーポットで攻撃を確認できるようで、無防備な状態でWEBサーバなどを公開してしまうと、すぐに攻撃されてしまいます。

SSL-VPN装置でユーザ名とパスワードでログイン設定でセッションハイジャックされる可能性があるそうなので、セキュリティ強化についての検討の参考になります。

JVN#67B82FA3: SSL-VPN製品におけるCookieの脆弱性

概要に、SSL-VPN製品で、SSLのクライアント認証を使用せずに、ユーザ名とパスワードでログインするモードを使用している場合にセッションハイジャックされる可能性がありますと書かれていますね。

想定される影響

Cookieに格納されたセッションIDが盗聴され、それを使用してセッションハイジャックされる可能性があります。
その結果、ログイン状態を乗っ取られる可能性があります。

かなり古い情報ですが、当時の装置で該当あり、なしを記載しています。

更新もなく、あまり情報がないので、以下を参考に。

複数のネットワークデバイスがCookieの「セキュア」属性の設定に失敗する

www.kb.cert.org

以下は抜粋です。

多くのネットワークデバイスは、HTTPS プロトコルをサポートする可能性のある組み込みのWebサーバーを提供します。ユーザーがHTTP経由でユーザー名/パスワードを使用してデバイスにログインすると、WebアプリケーションによってそのセッションのCookieが保存される場合があります。このCookieを保存するときは、ユーザーエージェントがこのCookieを安全な接続（つまり、HTTPS）経由でのみ送信するように「Secure」属性を設定する必要があります。

～

一部のネットワークデバイスがユーザーのシステムにCookieを保存する方法に脆弱性があります。「セキュア」属性が設定されていない場合、ユーザーエージェントはそのCookieの内容に機密情報が含まれている可能性があることを示しません。HTTPSを介したセッションを使用してCookieが作成され、その後HTTPセッションに使用された場合、Cookieの内容がプレーンテキストで送信される可能性があります。これにより、そのネットワークセグメント上のパケットをスニッフィングできる侵入者に機密情報が明らかになる可能性があります。