脆弱性を複数組み合わせるハッキング攻撃キャンペーン

アメリカ合衆国CISA (U.S. Cybersecurity and Infrastructure Security Agency)が、高い技術力を持つハッキンググループによる、複数の脆弱性を組み合わせた現在進行中の攻撃について警告しています。

CISA and FBI Release Joint Advisory Regarding APT Actors Chaining Vulnerabilities Against SLTT, Critical Infrastructure, and Elections Organizations

CISAの報告によると、攻撃者は政府系機関を攻撃対象としていて、一部の選挙関連システムへのアクセスにも成功しているとのことです。

複数の脆弱性を組み合わせる脆弱性チェイニングと呼ばれる手法による攻撃が観測されています。今回は最近公表されたWindowsサーバーの脆弱性"Zerologon(CVE-2020-1472)"の他、既に修正方法が公開済みの過去の脆弱性も攻撃手法に含まれています。利用されている脆弱性の一部として、下記が挙げられています。
CVE-2018-13379 Fortinet FortiOS におけるパストラバーサルの脆弱性
CVE-2019-19781 Citrix Application Delivery Controller および Gateway におけるパストラバーサルの脆弱性.
CVE-2019-11510 Pulse Secure Pulse Connect Secure におけるパーミッションに関する脆弱性
CVE-2020-2021 Palo Alto Networks PAN-OS の脆弱性
CVE-2020-5902 複数の BIG-IP 製品におけるコードインジェクションの脆弱性

攻撃者はこれらの脆弱性を利用し、他の脆弱なシステムやデバイスに侵入し、権限昇格を試みています。Zerologon脆弱性を利用してActive Directoryにアクセスする試みも観測されています。ハッキングに使われるツールはMimikatzやCrackMapExecなどのActive Directoryの認証情報を獲得するためのオープンソースツールと見られます。

脆弱性を修正するとともに、以下の対策が追加で推奨されています。

• VPN接続に多要素認証を付与することでセキュリティレベルを上げる(ハードウェアトークンが最もセキュリティ強度が高い)
• 使われていないVPNサーバーを停止することで攻撃経路を減らす
• 設定やパッチ管理プログラムの見直し、脆弱なNetlogonを使う通信を特定する
• ポート445(SMB)、135(RPC)など潜在的に脆弱性を持つと考えられるを閉じる
• すべてのドメインコントローラーと読み取り専用ドメインコントローラー (RODC)を更新する