JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は7月3日、「JVN#64316789: SoftEther VPN および PacketiX VPN における複数の脆弱性」において、筑波大学のSoftEther VPN Projectが提供している「SoftEther VPN」、ソフトイーサが提供している「PacketiX VPN」に複数の脆弱性が存在するとして、注意を呼び掛けた。これらの脆弱性は、攻撃者によるDoS攻撃や任意のコード実行、管理者権限での接続などの行為に悪用される危険性がある。
PacketiX VPNはソフトイーサによって開発されているVPNソフトウェアであり、ネットワーク仮想化技術によってレイヤ2 VPNを構築することができる。SoftEther VPNは、PacketiX VPNをベースとして一部機能を制限する形で提供されているVPNソフトウェアで、フリーソフトウェアとして無料で利用することができる。
今回報告された脆弱性に関する詳細は、SoftEther VPN Projectによる次のセキュリティアドバイザリにまとめられている。
報告されている脆弱性は以下のとおり。括弧内はCVSS v3のベーススコアを表す。
- CVE-2023-27395: 中間者攻撃により、サービス運用妨害(DoS)や任意のコード実行が可能(8.1)
- CVE-2023-22325: 整数オーバーフローに起因する無限ループを発生させることで、サービス運用妨害(DoS)攻撃が可能(5.9)
- CVE-2023-32275: 管理者として認証済みの攻撃者によって、ヒープ領域の開始アドレスを取得可能(4.4)
- CVE-2023-27516: VPN Clientにおいてパスワードを設定しないまま誤ってリモート管理機能を有効化している場合に、リモートの第三者によって管理接続が可能(7.0)
- CVE-2023-32634: 当該製品が動作するコンピュータに侵入できる攻撃者によって、VPN Client ManagerとVPN Clientプロセス間の通信の窃取や改ざんが可能(3.9)
- CVE-2023-31192: 攻撃者が用意した接続先VPN ServerがVPN Clientに細工したパケットを応答することで、そのVPN Clientプロセス内の初期化されていないスタック領域の値が取得できる(3.1)
SoftEther VPN 4.41 Build 9787 RTMおよびそれ以前バージョンは、上記6つのすべての脆弱性の影響を受ける。PacketiX VPN 4.41 Build 9787 RTMおよびそれ以前のバージョンについては、上記のうちCVE-2023-32275、CVE-2023-27516、CVE-2023-32634、およびCVE-2023-31192の4つの脆弱性の影響を受ける。
開発元からはこれらの脆弱性に対処した最新のパッチが提供されている。また、パッチを適用できない場合に、脆弱性の影響を軽減するためのワークアラウンド情報も提供されている。VPNの脆弱性はエンドユーザが使用するネットワーク環境に直接影響するため、早急に対処を行うことが推奨される。