【重要】[VPN] ソフトイーサ社からの脆弱性情報につきまして

  RisuPu VPN

お客様各位
いつもRisuPuをご利用頂き、誠にありがとうございます。

2023年6月30日(金)にソフトイーサ株式会社が弊組織で採用しているソフトウェアについて、
脆弱性情報を公開されました件につきまして、それぞれの脆弱性に関して影響可否等の評価を
以下の通り開示いたします。

※以下より列挙する情報は、当該プレスリリースからの出典です。
 2023/06/30: SE202301: セキュリティアドバイザリー: CVE-2023-27395 等 6 点: 米 Cisco Systems 社の協力により SoftEther VPN の脆弱性を修正

CVE-2023-27395:弊組織は、日本国内の信頼できる電気通信事業者よりインフラ設備を調達しており、
仮に本脆弱性の条件である「悪意のあるISP」や「国家レベルのインターネット通信経路」の攻撃者は、
現在の電気通信事業法にて定められている「検閲」等の行為に該当することとなり、事業者の法的な
リスクとなることも鑑み、日本国内のインフラ設備を調達している以上、影響なしと評価しました。

第一、弊組織では上記脆弱性の条件として同社が提供するDDNS機能を利用していることに対して
影響があると評価するべきで、弊組織では弊組織グループが所有するドメインにてお客様にご提供
を行っており、本脆弱性については評価以前に脆弱性影響範囲ではなかったと認定しました。

CVE-2023-22325:CVE-2023-27395と同様でこちらもDDNS機能が利用されている場合が対象でした。
弊組織グループは、前記の通り評価致しましたのでこちらも影響可否以前に対象ではありませんでした。

CVE-2023-32275:※弊組織では当該機能を利用していないので、評価しません※

CVE-2023-27516:こちらは、SoftEther VPN Clientが対象の脆弱性であり弊組織はサーバー側
を運用で採用していることから本脆弱性影響可否は言うまでもなく、影響なしと評価します。
無論、お客様にて管理者パスワードなしの状態でリモートからの接続を許可している場合は、
本脆弱性影響を受ける可能性がありますので、上記プレスリリースをご参照ください。

CVE-2023-32634:こちらもCVE-2023-27516と同様の評価です。

CVE-2023-31192:こちらもCVE-2023-27516と同様評価です。

なお、弊組織グループではお客様への影響がないと関知した後に確認済みでございますが、
弊組織ではお客様に安心してご利用頂きたいと思っておりますので、修正パッチを適用し、
現時点で上記脆弱性の条件をクリアした場合でも影響はないと評価することができます。

お客様には、ご案内までお時間を頂き大変申し訳ございませんでした。

今後ともRisuPuをよろしくお願いいたします。