ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?

Top 12 Security Flaws Russian Spy Hackers Are Exploiting in the Wild

2021/05/08 TheHackerNews — 英国と米国の情報機関が、5月7日に共同で発表した勧告によると、ロシアの Foreign Intelligence Service (SVR) と密接に関連するサイバー工作員たちは、これまでに公開された脆弱性に対応するかたちで、その戦術を変更しているようだ。

National Cyber Security Centre (NCSC) は、「SVR のサイバー・オペレーターたちは、ネットワーク防御を回避するために、TTP (Tactics / Techniques / Procedures) を変更したようだ」と述べている。たとえば、感染した被害者へのアクセスを維持するための、Sliver というオープンソース・ツールの導入や、侵入後の活動を効率化するための、Exchange Server ProxyLogon 欠陥の悪用なども含まれている。それらは、4月に発生した SolarWinds サプライチェーン攻撃に、SVR が関与していたことで明らかになったという。攻撃者たちは、Advanced Persistent Threat 29 (APT29)、the Dukes、CozyBear、Yttrium などの名前でも追跡されている。

NCSC のドキュメントには、SVR APT29 グループが米国企業に侵入するために、初期のアクセス・ポイントとして用いた 12 の脆弱性の、詳細を記した技術報告書も添付されているとのことです。

CVE-2018-13379 – Fortinet FortiGate VPN
CVE-2019-9670 – Synacor Zimbra Collaboration Suite
CVE-2019-11510 – Pulse Secure Pulse Connect Secure VPN
CVE-2019-19781 – Citrix Application Delivery Controller and Gateway
CVE-2020-4006 – VMware Workspace ONE Access
CVE-2019-1653 – Cisco Small Business RV320 and RV325 Routers
CVE-2019-2725 – Oracle WebLogic Server
CVE-2019-7609 – Kibana
CVE-2020-5902 – F5 Big-IP
CVE-2020-14882 – Oracle WebLogic Server
CVE-2021-21972 – VMware vSphere
CVE-2021-26855 – Microsoft Exchange Server

%d bloggers like this: