新攻撃手法「TunnelVision」、VPNトラフィックの盗聴に使われている恐れ(CVE-2024-3661) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新攻撃手法「TunnelVision」、VPNトラフィックの盗聴に使われている恐れ(CVE-2024-3661)

Threat Report

APT

Ivanti

MITRE

新攻撃手法「TunnelVision」、VPNトラフィックの盗聴に使われている恐れ(CVE-2024-3661)

佐々山 Tacos

佐々山 Tacos

2024.05.09

5月9日:サイバーセキュリティ関連ニュース

新攻撃手法「TunnelVision」、VPNトラフィックの盗聴に使われている恐れ(CVE-2024-3661)

Help Net Security – May 8, 2024

Leviathan Security Groupの研究者らは、同じローカルネットワーク上にいる攻撃者がVPNユーザーのトラフィックを傍受し、盗聴するために使うことができる新しい攻撃手法「TunnelVision」と脆弱性CVE-2024-3661について明らかにした。

この攻撃手法は、ユーザーのローカルネットワーク上に不正なDHCPサーバーを設置し、ターゲットのホストに一時的なIPアドレスを割り当てることで、ユーザーのVPNトラフィックが強制的にそのサーバーを経由するように仕向けるというもの。これにより攻撃者はVPN暗号化を回避し、暗号化されていないトラフィックのパケットを盗聴することができる。

この攻撃は通常のVPNユーザーには気づかれないものであり、この技術を何年も密かに使っている個人や団体が存在する可能性があるとのこと。身の安全確保のためにVPNを使っているジャーナリストや政治的反体制派などは特に危険だという。

この脆弱性により、DHCPオプション121をサポートしているOS(Windows、Linux、iOS、macOS)が影響を受けるが、DHCPオプション121をサポートしていないAndroidはこれに含まれない模様。

研究者らは現在実施できる修正や緩和策について概説し、各VPNプロバイダーやOSの保守担当者、および企業に対しそれらを実施するよう呼びかけている

MITRE、中国支援のUNC5221が最近の攻撃に関与したと評価

Security Affairs – May 07, 2024

MITRE Corporationは今年4月に公表した(※)セキュリティ侵害について追加で発表を行い、攻撃者を特定した根拠や攻撃のタイムラインなどの詳細を共有した。

※詳しくはこちらの記事で:

この侵害は昨年末〜今年3月に発生したもの。外国の国家支援型脅威アクターがIvanti Connect Secureのゼロデイ脆弱性2件(CVE-2024-46805、CVE-2024-21887)を連鎖させ、研究とプロトタイピングに使用されるNERVE(Networked Experimentation, Research, and Virtualization Environment)システムに入り込んでいたことが、先月明かされていた。MITREはその後も、外部のフォレンジックインシデント対応チームと連携した調査を続け、今月公開した新たな記事でさらなる詳細を伝えている。

この記事によれば、ハッキングの最中に観察された兆候と、中国系APT「UNC5221」と関連するIoCの間に重複が存在するという。同アクターがNERVEシステムへの初期アクセスを獲得したのは2023年12月31日で、その後Webシェル「ROOTROT」が展開され、2024年1月4日にはNERVE環境の偵察が行われていた。また、その後の活動ではBRICKSTORM、BEEFLUSH、WIREFIRE、BUSHWALKといったペイロードが使われたことなども新たに明かされている。MITREは、同APTが2月中旬から3月中旬にかけてNERVE環境に留まり、ラテラルムーブメントを試みたものの失敗したと説明している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ