Cisco FDM の欠陥によりマネージド・サービス・プロバイダーが危険に?

MSSPs Particularly Vulnerable to Cisco FDM Flaw

2021/08/10 SecurityBoulevard — 先日に公開された Cisco Firepower Device Manager (FDM) の脆弱性により、脅威にさらされる可能性があるのは、MSSP (Managed Security Services Providers) だと考えられる。Salt Security の Technical Evangelist である Michael Isbitski は、「顧客の Cisco Firepower NGFW (Next Generation Firewalls) のインスタンスを管理するために、MSSP たちは Cisco Firepower Device Manager (FDM) を運用しているかもしれない」と述べている。

Untangle の VP である Heather Paunet は、「複数の企業を担当している MSSP にとって、顧客のシステムを管理/アクセスするツールへの攻撃の脅威は、サイバー犯罪者が1社ずつを狙う場合よりも、多くの企業に一度に侵入することにつながる」と述べている。さらに Michael Isbitski は、「MSSP が Cisco FDM や Cisco Firepower NGFWを 運用している場合だが、MSSP 自身や、運用するサービスとデータ、そして顧客データが危険にさらされる可能性がある」と説明している。

Positive Technologies の研究者たちが、この欠陥を公開したのは先週のことだ。この脆弱性を悪用する攻撃者は、リモートから任意のコードを実行してデバイスを制御し、トラフィックのフィルタリングやファイアウォールの停止や、同じサブネット上にある内部システムや企業リソースへのアクセスが可能となる。この脆弱性を発見した Positive Technologies の研究者である Nikita Abramov は、「この脆弱性を悪用すると、攻撃者は最小限の認証権限で、対象デバイス上の全機能に完全にアクセスすることができる。つまり、そのデバイスを完全にシャットダウンすることが可能であり、組織内の全 Web トラフィックのフィルタリングの停止や、従業員による悪意のサイトへのアクセス、Web 上の悪意のあるコンテンツの組織ネットワークへの侵入などを許してしまう」と述べている。

同氏は、「犯罪者たちは、この欠陥を悪用して組織的な攻撃を行うこともできる。たとえば、Cisco Firepower Device Manager On-Box をオフにして悪意のコンテンツをすべて通過させ、悪意のリンクや添付ファイルを含むフィッシング・メールを送信することができる。つまり、悪意のリンクや添付ファイルがブロックされないため、サイバー犯罪の成功率が高くなる。複数の Cisco Firepower ファイアウォールがインストールされている場合、すべての Cisco Firepower ファイアウォールに対して、脆弱性のあるソリューションがローカルに設定される。

したがって、この欠陥を悪用する攻撃者は、すべてのファイアウォールを停止させることも可能だ」と説明している。さらに Nikita Abramov は、「機密データやネットワークなどが、同じサブネット上にある場合、この脆弱性を悪用して企業の内部リソースにアクセスし、攻撃やマルウェアをさらに拡散させることも可能だ。続いて、組織の従業員による内部リソースへのアクセス機能を制限し、それらの復旧と引き換えに身代金を要求する可能性さえある」と述べている。

Positive Technologies では、この欠陥を悪用されたという事例を把握していないと述べている。また、Isbitski は、「悪用するには、AP Iパラメータや変数を操作して、一種のコマンド・インジェクションとして実行する必要がある」と述べている。Cisco FDM の REST API の悪用に成功すると、対象となる FDM インスタンスを実行している OS へのアクセスが可能となり、攻撃者による任意のコード実行が可能になる。また、組織のネットワークが適切にセグメント化されていない場合は、被害の範囲が拡大する可能性がある。

攻撃者は、脆弱な組織のネットワーク内を移動し、他のサーバー/アプリケーション/データなどにアクセスするために、このエクスプロイトを他のエクスプロイトと連鎖させる可能性が高い」と述べている。Isbitski は、「HTTP リクエストを操作することは、攻撃者にとっては些細な作業であり、また、簡単にスクリプト化または自動化することができる。NGFW は、組織内の多くのプロトコル/アプリケーション/サービスへの攻撃に対するセキュリティ・キャッチオールとして導入されることが多いため、この保護機構自体に欠陥があると、フロントエンドのアプリケーションやデータが、十分に保護されているかどうかが疑われてしまう」と指摘している。

インジェクションの欠陥は、「2019 OWASP API Security Top 10」で8位にランクインするなど、ありふれたものである。Isbitski は、「今回のケースで目立っているのは、Cisco FDM の API 自体の脆弱性であり、それは組織が NGFW で保護しようとしているサービスのそのものである。残念ながら、NGFW のようなレガシーなセキュリティ・アプローチは、API トラフィックの分析や、コンテキストの提供し、API 攻撃の阻止などを行うようには設計されていない。その代わりに、HTTP のようなネットワーク・プロトコルに乗っている他のサービスと同様に、API トラフィックを評価しているという。

これらのレガシーな制御は、静的なシグネチャに依存しており、組織による効果的かつ迅速な調整が不可能だ」と述べている。組織の独自ビジネス・ロジックに合わせて、セキュリティ・チームが制御方式を調整することは、一般的には不可能だと考えられるだろう。必然的に攻撃者は、組織で使用されているレガシー・セキュリティ制御を回避し、API を悪用することになる。すでに Cisco は、この脆弱性に対する修正プログラムをリリースしているが、Heather Paunet は、「NTA/NDR ソリューションを使用して、不審なアクティビティをチェックすることを推奨する」と述べている。

この Cisco Firepower Device Manager の脆弱性ですが、文中のリンクをたどったら CVE-2021-1518 であることが分かりました。サプライチェーン攻撃に至らないことを願うばかりです。脆弱性チームの方では、7月22日のレポートに取り込んでいます。Cisco によると、CVSS は 6.2 であり、認証済みユーザーによるリモート攻撃が可能とのことです。また、CWE-94 コード・インジェクションという表記もありました。この記事もそうですが、Cisco のプロダクトやサービスには、FDM やら MSSP やら NGFW やらと、やたらと短縮形が多くて困ったものです。ほんと、辞書ができるくらいの多さです。

%d bloggers like this: