米国国勢調査局は Citrix ADC の脆弱性を介して1月に侵害されていた

US Census Bureau hacked in January 2020 using Citrix exploit

2021/08/18 BleepingComputer — 2020年1月11日のこと、米国国勢調査局 (US Census Bureau) のサーバーがハッカーに侵入されたが、パッチが未適用の Citrix ADC (Application Delivery Controller) のゼロデイ脆弱性の悪用に原因があったことが、最近の米国監察総局 (OIG : Office of Inspector General) の報告書で明らかになった。

OIG は、「これらのサーバーの目的は、同局のエンタープライズ・スタッフに対して、プロダクション/開発/ラボのネットワークへのリモートアクセス機能を提供することだった。ただし、システム担当者によると、これらのサーバーは、2020年の国勢調査ネットワークへのアクセスは提供していなかった。このリモートアクセス・サーバーへの攻撃が行われている最中の、2020年1月13日の時点で同局のファイアウォールは、攻撃者によるリモートアクセス・サーバーから C2 インフラへの通信をブロックしていた。しかし、侵入から2週間以上を経た 2020年1月28日まで、同局はサーバーが侵害されたことに気づかなかった」と述べている

攻撃は部分的にしか成功していない

攻撃者は、国勢調査局のサーバーに侵入し、悪意のコードをリモートから実行する、不正な管理者アカウントを設定できたが、バックドアを展開してサーバーへのアクセスを維持し、目的を達成することには失敗した。OIG によると、攻撃で悪用された重要な脆弱性を、同局は緩和することができず、そのサーバーは脆弱な状態にあった。サーバーが侵害された直後に、同局は攻撃/報告することができなかった。

また、十分なシステムログを保持しておらず、事件の調査に支障をきたした。このインシデントについて OIG は、「国勢調査局と OIG は、この事件を受けて結論を出しましたが、2020年の国勢調査のシステムが侵害された形跡はなく、また2020年の国勢調査に影響を与えるような、悪意の行動の証拠もなかった。また、OIG の報告書で取り上げられたインシデントにより、国勢調査局が維持/管理しているシステムとデータが、侵害/操作/流失することもかなった」と調査結果を公表した。

攻撃者は Citrix の重大な欠陥を悪用

米国国勢調査局の広報担当者に対して BleepingComputer はコメントを求めたが、OIG の報告書に対する同局の回答を参照してほしいとのことだった。そして、同局のサーバーを侵害するためにハッカーが用いた、攻撃ベクトルを特定するために必要な情報を見つけ出せた。OIG の報告書では、悪用された脆弱性やソフトウェア・ベンダーの名前が削除されていたが、国勢調査局が OIG に問い合わせた際の回答は残されており、削除されたベンダーが Citrix であることが明らかになった。国勢調査局は、「今回の移行を完了するために Citrix のエンジニアに依存していたことや、COVID-19 のパンデミックなど、同局がコントロールできない状況のため遅れが生じた。

ただし、2020年1月の攻撃で大きな影響を受けた、連邦政府の顧客をサポートする能力は有していた」と述べている。この説明文と、対象となる脆弱性が 2019年12月17日に公開されたことに OIG 言及したことで、Citrix の Application Delivery Controller (ADC) / Gateway / SD-WAN WANOP アプライアンスに深刻な影響を与える、脆弱性 CVE-2019-19781 が原因であると特定することが可能になった。この脆弱性 CVE-2019-19781 の悪用に成功すると、パッチが適用されていないサーバー上での任意のコード実行や、認証を必要としない内部ネットワークへのアクセスを、リモートの攻撃者に許す可能性がある。

Citrix のバグは現在も活発に悪用されている

2019年12月17日に、Citrix セキュリティ上の欠陥を開示し、2020年1月24日にはセキュリティ・アップデートをリリースした。2021年1月8日に、脆弱な Citrix サーバーでのスキャンが検出されたが、その2日後には CVE-2019-19781 の PoC エクスプロイトが公開されている。このチャンスに飛びついた脅威アクターが、パッチが適用されていない Citrix サーバーへの攻撃を開始し、Sodinokibi や Ragnarok といったランサムウェアのペイロードを、マルウェア侵害されたサーバーに展開しているのを、セキュリティ研究者たちは検出した。

ランサムウェア DoppelPaymer グループは、2021年2月にも同じバグを悪用し、フランスでクラウド・ホスティングや通信サービスを提供する、Bretagne Télécom のネットワークに侵入している。それ以来、CVE-2019-19781 は、FBI が公表している過去2年間のワースト脆弱性リストの上位にランクされ、また、NSA が公表するロシアン国家支援ハッカーが活発に利用する脆弱性リスト Top-5 にランクされている。

最近の米政府に関するトピックとしては、「米政府が秘密にしている 200万件のテロリスト監視リストが流出した?」や、「米 SEC 下部組織 FINRA の名を語るフィッシング攻撃が横行している」がありますが、どちらもネガティブな話です。民間企業と比べて、よりセキュアな運用が要求される行政組織が、サイバー攻撃や脆弱性への対応に苦慮している様子がうかがえます。そんな中、CISA が発表した官民連携の JCDC (Joint Cyber Defense Collaborative) は、ランサムウェアなどのサイバー脅威から、米国の重要インフラを守るとしています。どのような展開を見せるのか、興味津々ですね。

%d bloggers like this: