米ヒューストン港湾局への攻撃は Zoho の脆弱性を悪用する国家支援脅威アクターの仕業?

Port of Houston was hit by an alleged state-sponsored attack

2021/09/26 SecurityAffairs — 米国の主要港湾の1つであるヒューストン港は、8月にサイバー攻撃を受けたが、システムへの影響はなかったことを明らかにした。ヒューストン港湾局 (Port of Houston Authority) は、「8月にサイバー攻撃を受けたが、その防御に成功した。ヒューストン港は、海事輸送セキュリティ法 (MTSA : Maritime Transportation Security Act) に基づき策定された Facilities Security Plan に従った結果、業務に関するデータやシステムに影響が生じることはなかった」と、9月1日に発表した声明で述べている。

木曜日の朝に、Cybersecurity and Infrastructure Security Agency (CISA) の Director である Jen Easterly は、「今回の攻撃は、Zoho のユーザー認証デバイスにおけるゼロデイ脆弱性を悪用した、国家に支援された脅威アクターの犯行だと考えている。我々は、各省庁のパートナーや情報機関と緊密に連携し、この脅威アクターを洞察し、システムを保護するだけでなく、最終的には責任を追求することを目指している」と述べている。

オハイオ州選出の Rob Portman 上院議員は、重要インフラへの攻撃に対する懸念を表明し、米国当局に対し、「公共および民間の組織に対して調査を行い、このような犯罪を行い続ける、国家支援脅威アクターに対して反撃するよう求める」と述べている。

9月中旬に、FBI/CISA/CGCYBER は共同で勧告を発表し、国家レベルの APT グループが Zoho ManageEngine ADSelfService Plus の深刻な脆弱性 (CVE-2021-40539) を積極的に悪用していると警告した。ManageEngine ADSelfService Plus は、セルフサービスのパスワード管理/シングル・サインオンのソリューションである。

この共同勧告は、ManageEngine ADSelfService Plus が悪用されると、このソフトウェアを使用する、重要インフラ企業/防衛関連企業/学術機関などの団体に深刻なリスクがもたらされるとしている。米国政府機関によると、この脆弱性トリガーにした Web シェルの設置することで、管理者資格の侵害/横方向への移動/Active Directory ファイルの流出などの、活動を可能になってしまう。

9月上旬に Zoho は、ManageEngine ADSelfService Plus に存在する認証バイパスの脆弱性 (CVE-2021-40539) に対処するセキュリティ・パッチをリリースしている。同社は、この脆弱性が、すでに攻撃に利用されていると警告している。

先日に、「Zoho 警告:ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用」と、「FBI/CISA 勧告:Zoho の深刻な脆弱性 CVE-2021-40539 が狙われている」をポストしましたが、ついに攻撃が始まりましたね。ヒューストン港に被害が出ずに良かったです。調査が進めば、脅威アクターの名前も明らかになるはずです。続報を期待したいです。

%d bloggers like this: