脆弱性を複数組み合わせるハッキング攻撃キャンペーン

2023.06.02 岡山大

アメリカ合衆国CISA (U.S. Cybersecurity and Infrastructure Security Agency)が、高い技術力を持つハッキンググループによる、複数の脆弱性を組み合わせた現在進行中の攻撃について警告しています。

CISA and FBI Release Joint Advisory Regarding APT Actors Chaining Vulnerabilities Against SLTT, Critical Infrastructure, and Elections Organizations

CISAの報告によると、攻撃者は政府系機関を攻撃対象としていて、一部の選挙関連システムへのアクセスにも成功しているとのことです。

複数の脆弱性を組み合わせる脆弱性チェイニングと呼ばれる手法による攻撃が観測されています。今回は最近公表されたWindowsサーバーの脆弱性"Zerologon(CVE-2020-1472)"の他、既に修正方法が公開済みの過去の脆弱性も攻撃手法に含まれています。利用されている脆弱性の一部として、下記が挙げられています。
CVE-2018-13379 Fortinet FortiOS におけるパストラバーサルの脆弱性
CVE-2019-19781 Citrix Application Delivery Controller および Gateway におけるパストラバーサルの脆弱性.
CVE-2019-11510 Pulse Secure Pulse Connect Secure におけるパーミッションに関する脆弱性
CVE-2020-2021 Palo Alto Networks PAN-OS の脆弱性
CVE-2020-5902 複数の BIG-IP 製品におけるコードインジェクションの脆弱性

攻撃者はこれらの脆弱性を利用し、他の脆弱なシステムやデバイスに侵入し、権限昇格を試みています。Zerologon脆弱性を利用してActive Directoryにアクセスする試みも観測されています。ハッキングに使われるツールはMimikatzやCrackMapExecなどのActive Directoryの認証情報を獲得するためのオープンソースツールと見られます。

脆弱性を修正するとともに、以下の対策が追加で推奨されています。

VPN接続に多要素認証を付与することでセキュリティレベルを上げる(ハードウェアトークンが最もセキュリティ強度が高い)
使われていないVPNサーバーを停止することで攻撃経路を減らす
設定やパッチ管理プログラムの見直し、脆弱なNetlogonを使う通信を特定する
ポート445(SMB)、135(RPC)など潜在的に脆弱性を持つと考えられるを閉じる
すべてのドメインコントローラーと読み取り専用ドメインコントローラー (RODC)を更新する

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む