Pulse Secure のゼロデイを悪用したニューヨーク都市交通局への侵入

China-linked attackers breached Metropolitan Transportation Authority (MTA) using Pulse Secure zero-day

2021/06/04 SecurityAffairs — 中国由来と推測される脅威アクターたちが、Pulse Secure のゼロデイを悪用して、ニューヨーク市の都市交通局 (Metropolitan Transportation Authority : MTA) のネットワークに侵入した。この侵入は 4月に発生しているが、攻撃者たちは MTA の列車制御システムへのアクセスに失敗しており、被害は発生しなかったとされる。

この脆弱性に関しては、Pulse Secure と CISA が 4月に勧告を出しており、また、ワイルドに悪用されていることが警告された翌日に、当局による取り組みが開始されている。このセキュリティ侵害は、交通機関のネットワークに対する 3回目のサイバー攻撃であると、当局は The New York Times に語っている。

Metropolitan Transportation Authority (MTA) は、国外のハッカーから狙われる国交通機関の 1つであり、燃料パイプラインから水道システムにいたるまでの、米国の重要インフラに対するサイバー攻撃が急増している中で、この侵害は生じている。ただし、MTA の Chief Technology Officer である Rafail Portnoy は、「従業員や顧客の情報に、ハッカーはアクセスしていない」と述べている。

この脆弱性 CVE-2021-22893 は、Pulse Connect Secure ゲートウェイ上で任意のファイルを、認証を必要としないユーザーがリモート実行できる、認証バイパスの問題だと指摘されています。Pulse Secure が公開したアドバイザリーには、「この脆弱性の CVSS スコアは 10.0 というクリティカルなものであり、顧客の環境に重大なリスクをもたらす」と、記載されています。

なお、Pulse Secure は、VPN サーバーをスキャンすることで、CVE-2021-22893 などの脆弱性に関連する、侵害の兆候を調べるためのツールを公開しているとのことです。この記事で示唆されているように、脅威アクターにとって VPN の攻略は魅力的であり、また、エンタープライズが VPN だけに依存するのは、とても危険な戦略になってきています。Pulse Secure が Juniper Networks から独立したのは 2015年のことですが、2020年には Ivanti に買収されています。今後、VPN と Zero Trust のビジネスが、どのように棲み分けていくのか、興味津々ですね。

%d bloggers like this: