【重要】Cato VPN Clientのセキュリティ脆弱性について

2024年6月5日、Cato NetworksはCato VPN Clientに存在する脆弱性情報および最新バージョンへのバージョンアップ案内を公開しました。

詳細は以下の通りです。

Catoのどの製品が脆弱性の影響を受けるのか？

この脆弱性は、以下のCatoクライアントソフトウェアに影響があります。

Windowsクライアントバージョン5.10.06以下
Linuxクライアントバージョン5.2.2以下
Androidクライアントバージョン5.0.115以下

上記のすべてのクライアントについて、これらの脆弱性を完全に修正した新バージョンが2024年6月5日付けでCatoパートナーにリリースされており、以下のリンクからダウンロード可能です。

2024年6月6日より、すべてのCatoのお客様は、Cato管理アプリケーションのアクセス＞クライアントロールアウトのページから、最新のWindowsおよびLinuxクライアントをダウンロードすることができます。最新のAndroidクライアントは、Google Playストアで入手できます。

WindowsおよびLinuxクライアントについては、Catoアップグレードポリシーによる自動化をご利用の場合、クライアントのロールアウトはパイロットグループ向けに自動的に開始され、完了までに約1週間かかります。

段階的な自動アップグレードをご希望の場合は、Catoの担当者またはサポートにご連絡ください。

Catoクライアントに発見された脆弱性とは？

以前のWindows、Linux、およびAndroidのCatoクライアントのバージョンを使用しているマシンでは、特定の状況において、攻撃者がエンドユーザーを騙し、特別に細工されたURLにリダイレクトし、リモートコード実行を実行する可能性があります。

攻撃者がデバイスにアクセスできるようになると、ローカル特権の昇格につながる別の脆弱性が発見され、攻撃者がマシンを完全に制御できるようになる可能性があります。

しかし、この脆弱性は悪用されるリスクは非常に低く、私たちの知る限り、影響を受けた顧客はいません。

業界の標準的なベストプラクティスに従い、お客様がパッチを適用した新しいクライアントバージョンにアップグレードされた後に、脆弱性の全詳細を開示いたします。

脆弱性はどのようにして特定されたのか？

Catoは、Catoと連携して侵入テストを実施した第三者のサイバーセキュリティベンダーによって発見されたWindowsクライアントソフトウェアのセキュリティ脆弱性を認識しました。私たちの知る限り、これらの問題はいずれも悪用されていません。Windowsクライアントの脆弱性を発見した直後、Catoはサポートされているすべてのオペレーティングシステムのクライアントソフトウェアをレビューし、LinuxとAndroidクライアントにも同様の問題があることを発見しました。

Catoはいつこれらの脆弱性を知ったのか？

Catoは4月末にこれらの脆弱性を知った。これらの脆弱性を発見したのは、サードパーティのサイバーセキュリティベンダーで、彼らは業界のベストプラクティスに従って、Catoと連携して侵入テストを実施した。

これらの脆弱性について、なぜもっと早くパートナーに知らせなかったのですか？

これらの脆弱性は、調整された侵入テストの一環として発見されたものであり、私たちの知る限り、実際に悪用されたことはないため、Catoは、顧客に通知する前に、レポートを検証し、改善策を策定するための措置を講じました。潜在的な攻撃経路を軽減するため、Catoは積極的な保護措置が講じられていない脆弱性を公表することはありません。

すべてのCatoクライアントにパッチが適用されるのはいつですか？

パートナーの皆様には、6月5日より上記のリンクから新しいクライアント・バージョンをご利用いただけます。すぐに手動でインストールすることができます。

新しいクライアントのバージョンは、通常のクライアントバージョンのロールアウトプロセスに従って展開され、2024年6月6日にCato管理アプリケーションとGoogle Playストアで利用できるようになります。Catoアップグレードポリシーによる自動 化を使用する場合、WindowsとLinuxクライアントのロールアウトはパイロットグループ向けに自動的に開始され、完了までに約1週間かかります。

現在までにこれらの脆弱性の影響を受けた顧客はいますか？

この脆弱性は、協調的な侵入テストとCatoの社内テストの一環として発見されたものであるため、私たちが知る限り、現在までにこれらの脆弱性によって影響を受けた顧客はいません。