Microsoft 警告:中国ハッカーが関与する SolarWinds Serv-U SSH ゼロデイ攻撃

Microsoft Says Chinese Hackers Were Behind SolarWinds Serv-U SSH 0-Day Attack

2021/09/04 TheHackerNews — Microsoft は、SolarWinds Serv-U マネージド・ファイル転送サービスに影響をおよぼす、Critical な脆弱性について技術的な詳細を共有している。この脆弱性は、現時点では修正されているが、積極的に悪用されている状況にあり、中国で活動している脅威アクターが、関与している可能性が、きわめて高いとしている。

7月中旬、テキサス州に本社を置く SolarWinds は、Serv-U の Secure Shell (SSH) プロトコルの実装に起因する、リモートコード実行の脆弱性 CVE-2021-35211 を修正した。この脆弱性が悪用されると、感染したシステム上で、任意のコード実行や、悪意のプログラムのインストール、機密データの閲覧/変更/削除などが、攻撃者により引き起こされる恐れがある。

Microsoft の Offensive Research and Security Engineering チームは、この脆弱性に関する詳細な説明の中で、「Serv-U SSH サーバーには、デフォルトの設定で容易かつ確実に悪用可能な、pre-auth リモートコード実行の脆弱性が存在する。攻撃者は、開いている SSH ポートに接続し、不正な pre-auth 接続要求を送信することで、この脆弱性を悪用できまる。そして、以前に報告した標的型攻撃のように、プログラムのインストールや実行が可能になる」と述べている。

Microsoft は、観察された被害状況/戦術/手順に基づき、今回の攻撃が中国の DEV-0322 によるものだと明示している。また、リモートで pre-auth の脆弱性は、Serv-U プロセスがアクセス処理する際に方式に起因するとし、プロセスを終了させず侵害が可能なため、スティルスでの確実な悪用が可能になるという。

Microsoft のチームは、「この脆弱性は、Serv-U が OpenSSL の AES128-CTR コンテキストを、最初に作成する際に発生しする。それにより、連続した SSH メッセージを復号化する際に、初期化されていないデータを、関数ポインタとして使用することが可能になる。したがって、攻撃者は、開いている SSH ポートに接続し、pre-auth 接続要求を送信することで、この脆弱性を悪用できる。また、攻撃者は、この脆弱性を容易に利用するために、 Serv-U プロセスでロードされる ASLR (Address Space Layout Randomization) を使用せずに、コンパイルされた DLL を使用している可能性が高いことも発見した」と付け加えている。

ASLR とは、システムの実行ファイルをメモリにロードする際に、アドレス空間の位置をランダムに配置することで、バッファ・オーバーフロー攻撃の難易度を高めるための保護機構のことである。今回の攻撃を SolarWinds に開示した Microsoft は、Serv-U プロセスでロードされる全バイナリに対して、ASLR の互換性を有効にすることを推奨すると述べている。

同社は、「ASLR は、信頼されていないリモート入力に晒されるサービスにとって、重要なセキュリティ緩和策だ。Serv-U 攻撃が成功したのは、ハードコードされたアドレスが悪用されたからである。それを効果的に防ぐためには、プロセス内の全バイナリに互換性があることが必要だ」と述べている。

どちらかといえば、このインシデントで示されたことは、合法的なソフトウェアへの便乗なども含めて、脅威アクターが企業ネットワークを侵害するために使用する、さまざまな手法やツールが浮き彫りになったことだ。

2020年12月に Microsoft は、別のスパイ・グループが、この IT インフラ・プロバイダーの Orion を悪用して、感染したシステムに Supernova という永続的なバックドアを仕掛けた可能性があると公表している。サイバー・セキュリティ企業である Secureworks は、この侵入行為について、中国と連携する Spiral という脅威アクターと結びつけた。

この脆弱性 CVE-2021-35211 は、7月15日付でチェックされていました。CVSS は 9.0 で、CWE-119 (バッファ・エラー)、事前の承認が必要なリモート攻撃となっていました。ちなみに、pre-auth とは、事前承認という意味で良いみたいです。それにしても、SolarWinds 攻撃は止まりませんね。

%d bloggers like this: