United States Computer Emergency Readiness Team (US-CERT)は4月12日(米国時間)、「Vulnerability in Multiple VPN Applications|US-CERT」において、複数のVPN (Virtual Private Network)アプリケーションに脆弱性が存在すると伝えた。

この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Palo Alto Networks GlobalProtect Agent 4.1.0 for Windows
  • Palo Alto Networks GlobalProtect Agent 4.1.10 for macOSおよびこれよりも前のバージョン
  • Pulse Secure Connect Secure 8.1R14およびこれよりも前のバージョン
  • Pulse Secure Connect Secure 8.2およびこれよりも前のバージョン
  • Pulse Secure Connect Secure 8.3R6およびこれよりも前のバージョン
  • Pulse Secure Connect Secure 9.0R2およびこれよりも前のバージョン
  • Cisco AnyConnect 4.7.xおよびこれよりも前のバージョン

脆弱性に関する情報は次のページにまとまっている。

  • VU#192371 - VPN applications insecurely store session cookies

    VU#192371 - VPN applications insecurely store session cookies

US-CERTの発表時点で、Palo Alto Networks GlobalProtect Agentは Windows版とmacOS版の双方について、脆弱性を修正したバージョンがリリースされている。

VPNは安全にアクセスするための方法として広く使われているが、しばしばVPNアプリケーション自体に脆弱性が存在することや、VPNサービスがセキュリティ的な問題を抱えていることが指摘される。ベンダーが提供する最新情報に注力するとともに、アップデートが提供された場合は迅速に適用することが望まれる。