CISA マルウェア解析レポート:Pulse Secure VPN 攻撃の詳細とは?

CISA publishes malware analysis reports on samples targeting Pulse Secure devices

2021/08/26 SecurityAffairs — 米 CISA は、侵害された Pulse Secure デバイスで発見されたサンプルに関連する、5つのマルウェア解析レポート (MAR : Malware Analysis Reports) を公開した。それは、Pulse Secure 侵害に対する継続的な対応の一環として、悪用された Pulse Secure デバイスに関連する、5つのマルウェア・サンプルを分析するものだ。CISA のアドバイザリには、「ユーザーおよび管理者は、以下の5つのマルウェア解析レポート (MAR) を参照し、脅威主体の戦術/技術/手順 (TTP) と侵害の指標 (IOC) を確認し、詳細については CISA アラート Exploitation of Pulse Connect Secure Vulnerabilities での確認を推奨する」と記載されている。

MAR-10333243-3.v1: Pulse Connect Secure 
MAR-10334057-3.v1: Pulse Connect Secure 
MAR-10336935-2.v1: Pulse Connect Secure 
MAR-10338401-2.v1: Pulse Connect Secure
MAR-10339606-1.v1: Pulse Connect Secure

この MAR には、脅威アクターが採用した TTP (Tactics / Techniques / Procedures) の詳細と IOC (Indicators of Compromise) が含まれている。脅威アクターは、CVE-2021-22893 や CVE-2021-22937 などの複数の脆弱性を介して、Pulse Connect Secure VPN デバイスを標的にしている。CVE-2021-22893 は、Pulse Connect Secure Collaboration Suite の b9.1R11.4 未満のバージョンに存在するバッファ・オーバーフローの脆弱性であり、リモートの認証された攻撃者による root ユーザーとしての任意のコード実行を許してしまう。

FireEye と Pulse Secure が5月に発表した共同レポートによると、2つのハッキング・グループが Pulse Secure VPN デバイスのゼロデイ脆弱性を悪用して、米国の防衛関連企業や政府機関のネットワークに侵入したとのことだ。CVE-2021-22937は 、Pulse Connect Secure の管理用 Web インターフェイスに存在する、深刻度の高いリモートコード実行の脆弱性だ。この脆弱性を介して、リモートの攻撃者は任意のファイルを上書きし、root 権限でコードを実行できる。この欠陥は、CVSS 9.1 と評価されているが、2021年10月にリリースされた、CVE-2020-8260 に対処するためのパッチに起因すると、専門家は指摘している。Ivanti は、今月の初めにPulse Connect Secure VPN における一連の深刻なコード実行問題を修正した。

CISA が MAR で分析したサンプルのうち2つは、認証情報の不正採取のために感染したデバイスの、汚染された Pulse Secure ファイルである。そのうちの1つは、バックドア機能も実装しており、感染したデバイスへのリモート・アクセスを確立できるようになっている。また、別のファイルには、有効なユーザー名とパスワードを、ディスク上のファイルに記録するための、悪意のシェル・スクリプトが含まれていた。あるレポートでは、複数のファイルを含むサンプルの詳細が記載されており、攻撃者が Pulse Secure ファイルを変更して Web シェルとして使用するための、シェル・スクリプトも含まれていた。また、別のサンプルには、受信した Web リクエスト・データの解析や、証明書ベースの多要素認証の傍受を、攻撃者に提供するものも含まれていた。

この MAR には、「Pulse Secure Perl Common Gateway Interface (CGI) スクリプト・ファイルを所定の位置で、Web シェルに変更するために設計されたシェル・スクリプトのファイルもある。1つのファイルは、証明書ベースの多要素認証を傍受するように設計されている。その他のファイルは、入力された Web リクエスト・データをチェック/解析/復号化するように設計されている。この分析結果は、Pulse Connect Secure デバイスで見つかった、悪意のファイルから得られたものだ」と説明されている。研究者たちが分析した5番目のサンプルには、攻撃者にコマンドを実行させるための2 Perl スクリプト、「/bin/umount」ファイルを操作/実行する Perl ライブラリ、Perlスクリプト、シェル・スクリプトが含まれている。

Pulse Secure の CVE-2021-22893 は、4月に初めて報告され、 7月と8月に再び注意が促されていました。また、 CVE-2021-22937 は、8月に初めて報告され、同月に再び注意が促されました。ちなみに、CVSS スコアは 10.0 と 9.1 です。これだけ繰り返して話題になるということは、それだけインシデントが多いということだと思います。よろしければ、7月にポストした「CISA 警告:Pulse Secure に潜むスティルス・マルウェアに注意せよ」もご参照ください。

%d bloggers like this: