ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

SSL-VPN装置でActiveDirectoryで外部認証した場合の脆弱性リスク

今や当たり前のように多くの企業で使われているWindowsのActiveDirectoryですが、普段はパソコンやサーバをドメイン参加して、ユーザーとコンピュータの一括管理で使用していますが、導入するシステムよっては認証をAD連携できるようなものがたくさんあります。

 

例えば、VMwareのvCenterサーバも認証でAD連携できます。

 

AD連携と言えば、アカウントを複数管理しなくていい為、運用的にはメリットがありますし、ユーザー側もシステムごとにアカウントが発行されない為、色々とメリットがあります。

 

一般的にADは複数台たてて、冗長化もしていますので、基本的に認証ができなくなるというトラブルは少ないと思いますが、SSL-VPN装置でActiveDirectoryで外部認証した場合には脆弱性発見時にリスクがあるということを知っておくといいかもしれません。

 

基本的にマルウェアは感染後、ADの管理者権限を乗っ取りにいきますので、それが奪われた場合は、何でもし放題になります。

 

 

そして、SSL-VPN装置でActiveDirectoryで外部認証した場合の脆弱性リスクについては以下の情報がわかりやすいです。

 

Pulse Connect Secure の脆弱性を狙った攻撃事案 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

 

ネットワークに侵入した後の挙動
CVE-2019-11510が悪用されたことが推定される実際の侵害事案で、攻撃者は認証情報を窃取し、ネットワークへの侵入に成功した後にPsExecの使用、Windowsの資格情報を窃取するツールMimikatzの実行や、Active Directoryのデータベースファイル(ntds.dit)を窃取した痕跡が確認されています。
また、弊センターへ報告された事案の他にも、エンドポイントセキュリティツールの無効化、さらにはランサムウエア(Sodin/REvil)がインストールされた攻撃の事例も報道されています。

 

攻撃者は複数脆弱性が発見された場合は、効率的に侵入ができるようになる為、利用者からしたらとても危険です。

 

最近でも大手企業がランサムウェアに感染したというニュースがありましたが、すぐにパッチなどが適用できない場合の措置を考慮しておく必要があります。

 

インフラを構築する場合は、これからはシステムの障害範囲だけでなく、セキュリティ侵害された場合のリスクも同様に検討しておく必要があります。