SonicWall SMA を攻撃するカスタム・マルウェア:背後にいるのは中国由来の UNC4540 ?

SonicWall SMA appliance infected by a custom malware allegedly developed by Chinese hackers

2023/03/09 SecurityAffairs — UNC4540 として追跡され中国由来とされている脅威アクターが、SonicWall SMA アプライアンスにカスタム・マルウェアを展開したことを、Mandiant の研究者たちが報告した。 このマルウェアは、攻撃者によるユーザー認証情報の窃取を可能にし、ファームウェアのアップグレードによる永続性を実現し、シェルアクセスを提供するとされる。

このアプライアンスでの高度な特権と利用可能なアクセスを得るために、攻撃者が使用した一連のファイルの存在が、侵害されたデバイスの分析により明らかになった。その悪意のコードは、一連の bash スクリプトと、TinyShell の亜種と特定された単一の ELF バイナリで構成されている。


研究者たちは、この脅威アクターについて、アプライアンスを深く理解している者だと考えている。このマルウェアは、ファームウェアをアップグレードした場合でも、システムに適合し、安定性と持続性を維持しているという。

Mandiant は、「このマルウェアの主な目的は、ログインしている全ユーザーから、ハッシュ化された認証情報を盗むことにあるようだ。それは、SQLite3 データベース “/tmp/temp.db” に対して、SQL コマンド “select userName,password from Sessions” を日常的に実行し、その結果を、攻撃者が作成したテキスト・ファイル “/tmp/syslog.db” にコピーすることで達成される」とレポートに記している。

さらに同社は、「ソースデータベース “/tmp/temp.db” は、ハッシュ化された認証情報を含むセッション情報を、アプライアンスが追跡するために使用されている。この情報が攻撃者に取得されると、ハッシュがオフラインでクラックされる可能性が生じる」と付け加えている。

現時点では、パッチ未適用の SonicWall Secure Mobile Access (SMA) アプライアンスに対して、攻撃者がイニシャル・アクセスを成功させた方法は不明である。Mandiant の専門家は、標的となったアプライアンスの既知の脆弱性を、脅威アクターが悪用した可能性があると見ている。

Mandiant によると、このマルウェア、または、その前身は、2021年にインストールされ、それ以来、攻撃者が持続的にアクセスしていた可能性が高いと見ている。

マネージド・アプライアンス向けのマルウェアを開発するのは、きわめて困難であり、ターゲットに関する深い知識が必要となる。一般的にベンダーは、ユーザーがオペレーティング・システムやファイル・システムに対して、ユーザーが直接にアクセスできないようにしている。その代わりに、管理者は GUI や制限付きの CLI を提供し、誤操作によるシステムの破壊を防ぐようにしていると、Mandiant は指摘している。つまり、アクセス権がないと、このようなカスタム・マルウェアを開発することは、きわめて困難なことになる。

このレポートは、「脆弱性を悪用されるリスクを軽減するためには、適切なパッチ・マネージメントを維持することが何よりも重要である。このブログ記事を掲載した時点で、SonicWall は SMA100 の顧客に対して、ファイル整合性監視 (FIM) や異常プロセス識別などの、ハードニング強化を取り込んだ 10.2.1.7 以降へのアップグレードを促している」と述べている。

なお、パッチの機能を説明する SonicWall のブログ記事 (New SMA Release Updates OpenSSL Library, Includes Key Security Features) が公開されている。また、パッチ自体は Upgrade Path For SMA100 Series で確認できる。

SonicWall SMA を中国由来の脅威アクター UNC4540 が攻撃し始めているようです。そして、この UNC4540 は、ターゲットに関する深い知識を持っているようなので、要注意です。それと、この記事を訳していてナルホドと思ったのは、「管理者は GUI や制限付きの CLI を提供し、誤操作によるシステムの破壊を防ぐようにしている」という部分です。Cisco などでも、Web 管理インターフェイスで脆弱性が多発していますが、ユーザーに対して OS やファイル・システムに、ダイレクトにアクセスさせないという役割が、この部分にあるのですね。

%d bloggers like this: