SolarWinds Serv-U ゼロデイ攻撃には中国の DEV-0322 ハッキング・グループが関与?

China-linked hacking group DEV-0322 behind Solarwinds Serv-U zero-day attacks

2021/07/14 SecurityAffairs — Microsoft によると、最近の SolarWinds ファイル転送サーバーに対する攻撃は、DEV-0322 として追跡されている、中国のハッキング・グループにより行われているようだ。今週、SolarWinds は、Serv-U 製品に存在する、ゼロデイのリモートコード実行の脆弱性 CVE-2021-35211 に対処した。この問題は、Serv-U Managed File Transfer Server および Serv-U Secured FTP が対象となる。

Microsoft によると、この脆弱性は1人の脅威アクターにより、限られた対象への攻撃に悪用されたとのことだ。SolarWinds によると、この脆弱性は、Serv-U Version 15.2.3 HF1 以下に存在し、Serv-U Version 15.2.3 Hotfix (HF) 2 のリリースにより解消される。その他の SolarWinds および N-able (旧 SolarWinds MSP)は、Orion Platform および Orion Platform Module 同様に、この問題の影響を受けない。

SolarWinds が公開したアドバイザリには、「Microsoft は、この脆弱性を悪用した PoC エクスプロイトを提供している。悪用された場合、脅威アクターは Serv-U をホストするマシン上で、特権的なアクセスを得る可能性がある。Microsoft は、限られた対象顧客への影響を示す証拠を提供しているが、現時点において SolarWinds は、この脆弱性により影響を受ける可能性のある顧客数を推定していない」と書かれている。

専門家たちは、この問題と SolarWinds サプライチェーン攻撃とは、無関係だと指摘している。しかし、Microsoft は今回、この攻撃と脅威アクター使用した攻撃チェーンについて、さらなる詳細を発表した。研究者たちは、脅威アクターのことを DEV と呼んでいるが、これは「開発グループ」に分類されることを意味し、各 DEV グループに固有の番号(DEV-####)を割り当て、追跡しやすくしている。

Microsoft では、DEV-0322 の標的が、米国の国防産業基盤セクターの企業であることを確認している。専門家によると、この APT グループは中国を拠点としており、攻撃者のインフラストラクチャに商用 VPN ソリューションや脆弱化したコンシューマ・ルーターを採用している。Microsoft は、定期的な調査の際に Microsoft 365 Defender のテレメトリーを分析することで、この DEV-0322 ゼロデイ攻撃を初めて検知した。Serv-U プロセスから、異常な悪意のプロセスが起動していることがわかり、侵害が生じていることが示唆されたと、Microsoft は述べている。

同社の検出ガイダンスには、「Serv-U の DebugSocketLog.txt ログファイルを確認し、例外メッセージを確認する。C0000005; CSUSSHSocket::ProcessReceive 例外は、悪用が試みられたことを示すことがあるが、関連性のない理由で表示されることもある。いずれにしても、この例外が見つかった場合にはログを慎重に確認し、ここで説明したような行動や侵害の指標がないか確認する必要がある」と書かれている。

中国のハッキング・グループが SolarWinds のソリューションを標的にするのは、初めてのことではない。専門家たちは、Spiral という名で追跡されている別の中国 APT グループが、SolarWinds を標的にしていることも見つけ出している。Secureworks CTU (counter threat unit) の 研究者たちは、SolarWinds のサーバーを悪用して Supernova Web Shell が展開されたことを調査していたが、この悪質な行為をサイバー・スパイ集団 Spiral に結びつける証拠を収集した。攻撃者は、SolarWinds Orion API の脆弱性 CVE-2020-10148 認証バイパスを悪用して、リモートで API コマンドを実行することが確認された。攻撃者は、この欠陥を脆弱なサーバー上で悪用し、PowerShell コマンドを使用して Supernova Web Shell ディスクに展開している。

この記事は、Serv-U ファイル転送サーバーを使用している SolarWinds ユーザーは、パッチをインストールする必要があると指摘しています。また、一時的な緩和策として、サーバーへの SSH アクセスを無効にすることも推奨されています。そして、「残念ながら、SSH ポートをオンラインで公開している SolarWinds Serv-U の数は依然として多く、最近の攻撃の波が公開された後も、減少していないとのことだ」と警鐘を鳴らしています。

SolarWinds ゼロデイの悪用により米防衛機関が標的に
SolarWinds Serv-U 脆弱性が悪用されている:パッチの適用は必須!
SolarWinds ハッカーたちのドメインが当局に差し押さえられた
SolarWinds ハッカーたちが 24カ国の政府組織を狙っている
ロシアの諜報機関が SolarWinds ハッキングへの関与を否定

%d bloggers like this: