CISA orders agencies to patch Backup Exec bugs used by ransomware gang
2023/04/07 BleepingComputer — 2023年4月7日 (金) 日に CISA は、KEV (Known Exploited Vulnerabilities) カタログに5つの脆弱性を追加した。そのうちの3つは Veritas Backup Exec の脆弱性であり、ランサムウェアを展開するために悪用されている。残りの2つは、Samsung の Web ブラウザを標的としたエクスプロイト・チェーンの一部としてゼロデイで悪用された脆弱性と、Microsoft Windows Certificate Dialog における権限昇格の脆弱性だ。
ランサムウェア攻撃におけるイニシャル・アクセス
KEV カタログに新たに追加された5つの脆弱性のうち、Veritas Backup Exec の脆弱性 CVE-2021-27877 は、深刻度 Critical と評価されている。この脆弱性の悪用に成功した攻撃者は、リモート・アクセスや昇格した権限でのコマンド実行が可能になる。
今週の初めにサイバー・セキュリティ Mandiant が発表したレポートによると、ALPHV/BlackCat ランサムウェア・オペレーションのアフィリエイトが、ターゲットのネットワークへのイニシャル・アクセスを得るために、この脆弱性を悪用したとのことだ。
また、Veritas Backup Exec の他の2つの脆弱性 CVE-2021-27876/CVE-2021-27878 も攻撃に利用されているという。これらの脆弱性の悪用に成功した攻撃者は、システム上で任意のファイルにアクセスし、任意のコマンドの実行が可能になる。
Veritas は、2021年3月に、これらの3つの脆弱性すべてにパッチを適用しているが、現時点においては数千台の Backup Exec インスタンスが、パブリックな Web 上でアクセス可能になっている。
エクスプロイト・チェーンにより配信されるスパイウェア
KEV カタログに追加された4つ目の脆弱性は、Samsung の Web ブラウザで悪用されたゼロデイ CVE-2023-26083 であり、Arm の Mali GPU ドライバに影響を与えるものだ。
Google Threat Analysis Group (TAG) が 2022年12月に発見したキャンペーンで、商用スパイウェアを配信したエクスプロイト・チェーンの一部においては、この脆弱性により機密カーネルのメタデータが漏えいした。
CISA は、3月末の前回の KEV アップデートで、エクスプロイト・チェーンで活用された他の脆弱性もカタログに追加しており、その中には攻撃時にゼロデイだったものもあった。
KEV カタログに追加された5つ目の脆弱性は、Microsoft Windows Certificate Dialog に影響を与える CVE-2019-1388 であり、侵害されたマシン上で昇格した権限でプロセスを実行する攻撃に悪用されている。
4月28日までに米国の連邦政府機関は、新たに追加された脆弱性の影響を受けたシステムの有無を確認し、必要な更新を適用するよう求められている。
2021年11月に発行された拘束オペレーション指令 (BOD 22-01) の一環として、連邦民間行政機関 (FCEB) 機関は、現在 911 件のエントリーがある KEV カタログに含まれる、すべてのバグについてネットワークをチェックし、修正するよう要請されている。
KEV は、主として連邦政府機関を対象としているが、世界中の民間企業に対しても、このカタログに記載されている脆弱性を優先的に取り扱うことが、強く推奨されている。
Veritas の脆弱性ですが、2023/04/04 の「Veritas Backup の3つの脆弱性:ALPHV/BlackCat ランサムウェアの標的になっている」に、詳細が記載されています。また、今日の記事によると、CISA KEV に記載される脆弱性の数が、911件に達したようです。開始されてから1年4ヶ月が経っており、1ヶ月あたりの平均値は 57件になります。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.