Cisco ASAのゼロデイをAkiraランサムウェアが攻撃で悪用:CVE-2023-20269
Ciscoは先週6日、同社の適応型セキュリティ アプライアンス(ASA)ソフトウェアおよびFirepower Threat Defense(FTD)ソフトウェアにおけるゼロデイ脆弱性CVE-2023-20269がAkiraランサムウェアによる攻撃で悪用されていると警告。この脆弱性は、認証されていない遠隔の攻撃者によるブルートフォース攻撃の実施を可能にするのだという。現時点で同ゼロデイへのパッチを含むセキュリティアップデートはまだリリースされておらず、ワークアラウンドのみが提供されている。
CVE-2023-20269:ブルートフォース攻撃に繋がるVPN機能の脆弱性
CVE-2023-20269はCisco ASAおよびFTDのリモートアクセスVPN機能に影響を与える脆弱性(CVSSスコア:5.0)で、以下の行為を可能にする恐れがあるという。
・認証されていない遠隔の攻撃者によるブルートフォース攻撃。この攻撃によりユーザー名とパスワードの組み合わせが特定されると、これを利用して不正にVPNリモートアクセスセッションを確立される恐れがある。
・認証されている遠隔の攻撃者による、クライアントレスSSL VPNセッションの確立(9.16以前のCisco ASAソフトウェア利用時のみ)。
Ciscoはこの脆弱性に対処するためのセキュリティアップデートを今後リリース予定だが、それまでの間はアドバイザリ内に記載のワークアラウンドを実施しておくことが推奨される。
AkiraランサムウェアによるCisco VPN悪用の報道は先月から
先月BleepingComputerは、AkiraランサムウェアがCisco製VPNデバイスを悪用することにより企業のネットワークを侵害していると報道した。この時点で何らかの脆弱性が悪用されているか否かは明らかになっていなかったものの、サイバーセキュリティ企業SentinelOneは未知の脆弱性が存在する可能性を疑っていた。
この報道の1週間後、AkiraだけでなくLockbitランサムウェアもまだ文書化されていないCisco製VPNデバイスのセキュリティ上の問題を悪用していると、Rapid7が報告。この時点でも、この「問題」が正確にはどんなものなのかは不明なままだったという。同時期にCiscoが公開したアドバイザリには、Akiraによる侵害がMFAの設定されていないデバイスに対するブルートフォース攻撃によって実施されている旨が記されている。
そして今週6日、Ciscoは新たなアドバイザリの中でゼロデイ脆弱性の存在を認め、パッチがリリースされるまでの間に実施すべきワークアラウンドを提供した。同社によれば、この脆弱性が初めて特定されたのは、先月AkiraランサムウェアによるCisco VPNへの侵害を調査していた際のことだったという。
(情報源:SecurityWeek “Cisco ASA Zero-Day Exploited in Akira Ransomware Attacks”、BleepingComputer “Cisco warns of VPN zero-day exploited by ransomware gangs”、Help Net Security “Unpatched Cisco ASA flaw exploited by attackers (CVE-2023-20269)”)
9月9~11日:その他の注目ニュース
ミャンマーの強力な少数民族民兵組織、サイバー犯罪に関与した疑いのある中国人1,200人を本国へ送還
SecurityWeek – September 10, 2023
ミャンマーの最大かつ最も強力な少数民族民兵組織の1つが、オンライン詐欺キャンペーンに関与したとされる1,200人以上の中国人を逮捕し、本国に送還した。今回の逮捕は、シャン州東部のワ州連合軍(UWSA)が支配する地域で行われたとのこと。逮捕された人々は、中国の雲南省との国境にあるワ自治管区の首都、パンサン(別名Pangkham市)の国境ゲートで中国警察に引き渡されたという。
ワ族は中国やミャンマーに居住する少数民族だが、ミャンマーのワ族はシャン州の北東部と南部にある2つの飛び地から成る自らの領土を、同国中央政府の干渉を受けずに統治している。またワ州連合軍は、ミャンマーの主要少数民族の中で最大かつ最強の民族武装組織であり、親密な関係を維持している中国から、約3万人の兵士と、重砲やヘリコプターを含む高度な兵器を提供されている。
サイバー犯罪におけるオンライン詐欺は、アジアで大きな問題となっている。こうした詐欺を実行するために雇われた者の多くは犯罪組織の被害者であり、偽の仕事のオファーにより集められて奴隷のような状況で働かされる。国連の報告書によると、ミャンマーのオンライン詐欺センターは、タイ国境沿いのカイン州南東部の町とコカン自治区、中国国境沿いのシャン州のワ自治都市モンラーにあるとされている。また、紛争が絶えないミャンマーでは少なくとも12万人、カンボジアではおよそ10万人がオンライン詐欺を実行するよう強制される状況に置かれている可能性があるという。
ZohoとFortinetにおける脆弱性を用いて米航空宇宙組織がハッキングされる(CVE-2022-47966、CVE-2022-42475)
SecurityWeek – September 8, 2023
FBI、CISA、CNMFの共同報告書によると、高度持続的脅威(APT)アクターらが、Zoho ManageEngineおよびFortinet VPN製品における既知の脆弱性(CVE-2022-47966、CVE-2022-42475)を悪用して、航空分野の組織をハッキングしたという。同3機関は、2023年2月から4月にかけて行った調査で、複数のAPTが同年1月から上記2つの欠陥を悪用し、ある航空組織のネットワーク上で永続性を確立していたことを発見した。
1つ目のZoho製品の脆弱性CVE-2022-47966(CVSSスコア9.8)は、リモートの攻撃者が影響を受けるシステム上で任意のコードを実行することを可能にするもの。同脆弱性を悪用した攻撃者は、最終的に認証情報を収集してネットワーク内でラテラルムーブメントを行った。同3機関は、この攻撃により専有情報がアクセスを受けたり、改ざんされたり、抜き取られたりしたかどうかは判断できなかったと述べている。
2つ目のCVE-2022-42475(CVSSスコア9.8)はFortinetのVPN製品におけるバッファオーバーフローの脆弱性で、権限のない者による、細工されたリクエストを用いた任意のコードやコマンドの実行を可能にするもの。2月前半に同脆弱性を悪用して被害組織のファイアウォールを侵害し、VPN接続を複数確立した攻撃者は、管理者認証情報の無効化やログの削除を行ってその後の活動が検出されるのを防いだという。また攻撃の際に、Mimikatz(クレデンシャルダンピング用ツール)、Ngrok(プライベート接続トンネルを作成するツール)、ProcDump(プロセスダンプ用ツール)、Metasploit、anydesk.exe(リモートアクセス用ツール)など、容易に入手可能な複数のツールを使用していたことも判明している。
CISA、FBI、および CNMFは勧告の中で、これらのツールに関する情報、観測された活動の詳細なタイムライン、攻撃に関連するIoC、および同様の攻撃を防止するために推奨される緩和策のリストを提供している。