US govt shares top flaws exploited by Chinese hackers since 2020
2022/10/06 BleepingComputer — 今日、NSA/CISA/FBI は、中華人民共和国 (PRC) の支援を受けるハッカーが、政府や重要インフラのネットワークを標的として悪用する、最も深刻なセキュリティ脆弱性の Top-20 を明らかにした。それらの連邦機関は共同勧告の中で、中国の支援を受けたハッカーが、米国および同盟国のネットワークや技術系企業を標的にしえ、機密ネットワークへのアクセスや知的財産の窃盗を試みていると述べている。
この勧告には、「NSA/CISA/FBI は、中国がスポンサーとなるサイバー活動について、米国の政府/民間のネットワークに対する最大級の脅威であると、これまでと同様に評価している。従来からの NSA/CISA/FBI 報告を基に CISA は、連邦政府/州政府/地方自治体および、防衛産業基盤部門を含む重要インフラ、そして民間組織に対して、注目すべき動向と持続的な TTP (tactics, techniques, and procedures) を伝えていく」と記されている。
この勧告では、中国の脅威アクターたちが悪用する機会が多い、セキュリティ上の各欠陥に対して推奨される緩和策や、侵入してくる攻撃の試みを発見しブロックする際に、防御者にとって有効な検出方法と脆弱性対策の技術もまとめている。
NSA/CISA/FBI によると、2020年以降において、中国に支援された国家ハッカーが好んで悪用するセキュリティ脆弱性は、以下のとおりとなる。
| Vendor | CVE | Vulnerability Type |
| Apache Log4j | CVE-2021-44228 | Remote Code Execution |
| Pulse Connect Secure | CVE-2019-11510 | Arbitrary File Read |
| GitLab CE/EE | CVE-2021-22205 | Remote Code Execution |
| Atlassian | CVE-2022-26134 | Remote Code Execution |
| Microsoft Exchange | CVE-2021-26855 | Remote Code Execution |
| F5 Big-IP | CVE-2020-5902 | Remote Code Execution |
| VMware vCenter Server | CVE-2021-22005 | Arbitrary File Upload |
| Citrix ADC | CVE-2019-19781 | Path Traversal |
| Cisco Hyperflex | CVE-2021-1497 | Command Line Execution |
| Buffalo WSR | CVE-2021-20090 | Relative Path Traversal |
| Atlassian Confluence Server and Data Center | CVE-2021-26084 | Remote Code Execution |
| Hikvision Webserver | CVE-2021-36260 | Command Injection |
| Sitecore XP | CVE-2021-42237 | Remote Code Execution |
| F5 Big-IP | CVE-2022-1388 | Remote Code Execution |
| Apache | CVE-2022-24112 | Authentication Bypass by Spoofing |
| ZOHO | CVE-2021-40539 | Remote Code Execution |
| Microsoft | CVE-2021-26857 | Remote Code Execution |
| Microsoft | CVE-2021-26858 | Remote Code Execution |
| Microsoft | CVE-2021-27065 | Remote Code Execution |
| Apache HTTP Server | CVE-2021-41773 | Path Traversal |
緩和策について
また、NSA/CISA/FBI は、米国および同盟国の政府/重要インフラ/民間企業に対して、中国から生じるサイバー攻撃を防ぐために、以下の緩和策を適用するよう促している。
3つの連邦機関は、セキュリティ・パッチを可能な限り早急に適用し、可能な限りフィッシングに強い多要素認証 (MFA) を使用し、セキュリティ・パッチが終了した旧来からのネットワーク・インフラを交換するよう、それぞれの組織に助言している。
また、ゼロトラスト・セキュリティモデルへ移行し、インターネットに公開されたサービスでの堅牢なロギングを有効にし、攻撃の試みを可能な限り早急に検出することも推奨している。
今日の共同勧告は、中国の国家支援グループが使用する TTPs (tactics, techniques, and procedures) に関する情報 (2021年) および、一連の攻撃で悪用される公知の脆弱性 (2020年) を共有した、従来からの2つの勧告に続くものである。
また、この6月には、中国の国家ハッカーが、大手の通信会社やネットワーク・サービス・プロバイダーに侵入し、認証情報の窃取およびデータの採取を行ったことも明らかにしている。
中国由来のハッカーが好む脆弱性とのことですが、どのようなコードが割り振られているのかと思い、China + APT で検索してみました。その結果、2022年2月24日の「米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術」および、3月9日の「Google が中国由来の APT31 をブロック:米政府関係者の Gmail にフィッシング」などが見つかりましたので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.