CISA/FBI 警告:Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害

Experts Detail Malicious Code Dropped Using ManageEngine ADSelfService Exploit

2021/11/08 TheHackerNews — Zoho ManageEngine ADSelfService Plus における、セルフサービス・パスワード管理およびシングル・サインオン (SSO) のソリューションだが、先日にパッチが適用された深刻な脆弱性を悪用され、テクノロジー/防衛/ヘルスケア/エネルギー/教育などの業界の、少なくとも9組織が不正な侵入を許してしまった。

このスパイ活動は、2021年9月22日から確認されており、この欠陥を利用した脅威アクターは、標的となる組織にアクセスした後にネットワークを横方向へと移動し、バックドアを介して認証情報や機密情報を流出させる悪意のツールを展開し、その後も活動を継続していた。

Palo Alto Networks の Unit 42 チームの研究者たちはレポートの中で「この脅威アクターは Godzilla Web シェルを活用し、操作の過程でオープンソースの各種 Web シェルを侵害したサーバーにアップロードしていた。いくつかの他のツールは、新しい特徴をもつものや以前の攻撃で使用されていないものであり、具体的に言うと NGLite バックドアと KdcSponge stealer となる」と述べている。

この脆弱性 CVE-2021-40539 は、REST API の URL に影響を与える認証バイパスに関するものであり、リモートコード実行を可能にする可能性がある。米国の CISA は、積極的に悪用されていると警告している。この問題の CVSS 値は 9.8 と評価されている。

CISA/FBI/CGCYBER によると、このバグを武器とした実世界での攻撃は、早ければ2021年8月に開始されているとされる。また、Unit 42 の調査によると、この攻撃では、最初の侵入に成功した後に、Godzilla と名付けられた中国語の JSP Web シェルがインストールされるが、NGLite と呼ばれる Golang ベースのカスタム・トロイの木馬にも感染した被害者もいるとのことだ。

研究者である Robert Falcone/Jeff White/Peter Renals によると、「NGLite の作者は、『ブロックチェーンに基づいた匿名のクロスプラットフォーム遠隔操作プログラム』と呼んでいる。このプログラムは、Command and Control (C2) 通信に New Kind of Network (NKN) のインフラを活用しており、ユーザーの匿名性を理論的に実現している」と述べている。

このツールセットにより、攻撃者はコマンドを実行し、ネットワーク上の他のシステムへと横移動し、指定したファイルの送信も可能にしていた。また、 KdcSponge と名付けられた新しいパスワード・スティーラーも、ドメイン・コントローラから認証情報を盗むために編成されている。

最終的には、9月17日から米国内で 370台以上の Zoho ManageEngine サーバーが標的にされたと考えられる。脅威アクターは正体不明だが、Unit 42 によると、この攻撃者と Emissary Panda (別名:APT27/TG-3390/BRONZE UNION/Iron Tiger/LuckyMouse) との間には、戦術やツールに相関関係があることが確認されている。

CISA は、「ManageEngine ADSelfService Plusに関連する活動を、ネットワーク内で確認した組織は、直ちに行動を起こすべきだ。”NTDS.dit ” ファイルが侵害されたことを示す兆候が見つかった場合には、ドメイン全体のパスワード・リセットと、Kerberos Ticket Granting Ticket (TGT) のパスワード・リセットを行うことを推奨する」と述べている。

この ADSelfService Plus の脆弱性 CVE-2021-40539 ですが、なかなか攻撃が収束しないようです。時系列に並べると、9月9日の「Zoho 警告:ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用」、9月16日の「FBI/CISA 勧告:Zoho の深刻な脆弱性 CVE-2021-40539 が狙われている」、9月26日の「米ヒューストン港湾局への攻撃は Zoho の脆弱性を悪用する国家支援脅威アクターの仕業?」となります。SolaWinds のように、くすぶり続けるのでしょうか?

%d bloggers like this: