CISA 警告:Fortinet と Zoho の既知の脆弱性が国家支援ハッカーに狙われている

CISA Warning: Nation-State Hackers Exploit Fortinet and Zoho Vulnerabilities

2023/09/08 TheHackerNews — Fortinet FortiOS SSL-VPN と Zoho ManageEngine ServiceDesk Plus の脆弱性を悪用する複数の APT が、侵害したシステムに不正アクセスし、永続性を確立していると、9月12日に CISA が警告した。また、FBI および CNMF との共同アラートには、「国家レベルの APT が脆弱性 CVE-2022-47966 を悪用して、インターネットに公開された Zoho ManageEngine ServiceDesk Plus に不正アクセスし、永続性を確立し、横方向へ移動していると」と記されている。


また、U.S. Cyber Command (USCYBERCOM) は、イランの国家スタッフの関与をほのめかしているが、攻撃の背後にいる脅威グループの身元は明らかにされていない。

この調査結果は、CISA が 2023年2月〜4月に航空部門組織に対して実施した、インシデント対応業務に基づいている。悪意の活動が、2023年1月18日の時点で開始されていたと示唆する証拠があるという。

Zoho ManageEngine ServiceDesk Plus に存在する、深刻なリモート・コード実行脆弱性である CVE-2022-47966 が、未認証の攻撃者に悪用されると、影響を受けやすいインスタンスが完全に乗っ取られる可能性があるという。

この脆弱性の悪用に成功した攻撃者は、Web サーバへの root レベルのアクセス権を取得した後に、追加のマルウェアのダウンロードや、ネットワークの列挙、管理ユーザー認証情報の収集などを行い、ネットワークを通じて横方向へと移動していく。

ただし、その結果として、機密情報の窃取に至ったかどうかは、現時点で明らかになっていないという。

そして、2つ目の問題は、ファイアウォールにアクセスする Fortinet FortiOS SSL-VPN に存在する、深刻な脆弱性 CVE-2022-42475 悪用に関するものだ。

CISA は、「この脆弱性を悪用する APT は、以前に雇用された請負業者の、すでに無効化された正当な管理者アカウントの認証情報を侵害し、利用していることが確認された」と述べている。

この攻撃者に関しては、ファイアウォール・デバイスからのデータ転送を示す複数の IP アドレスに対して、複数の TLS (Transport Layer Security) 暗号化セッションを開始する様子も観察されている。さらに、有効な認証情報を活用して、ファイアウォールから Web サーバにホップし、バックドア・アクセス用の Web シェルを展開する様子も確認されている。

どちらのケースでも、この敵対者は管理者アカウントの認証情報を無効化し、その環境内の重要なサーバからログを削除し、自分たちの活動のフォレンジックな痕跡を消そうとしたと言われている。

CISA は、「2023年2月上旬〜3月中旬に、anydesk.exe が3つのホストで観測された。この APT アクターは、1つのホストを侵害し、他の2つのホストに実行ファイルをインストールするために、横方向へと移動していた」と指摘している。

それぞれのマシンに AnyDesk がインストールされた方式は、現在のところ不明である。

また、この攻撃で用いられた他のテクニックとしては、正規の ConnectWise ScreenConnect クライアントを使用して、クレデンシャル・ダンプツール Mimikatz をダウンロードして実行するというものがある。

さらに、この脅威アクターは、イニシャル・アクセスのために、ServiceDesk システムに存在する Apache Log4j の既知の脆弱性 CVE-2021-44228 (Log4Shell) を悪用しようと試みたが、最終的には失敗している。

一連の脆弱性が悪用され続けていることから、ユーザー組織に対して推奨されるのは、最新のアップデートを適用し、リモート・アクセス・ソフトウェアの不正利用を監視し、不要なアカウント/グループを削除して、悪用を防ぐことである。

この Zoho ManageEngine ServiceDesk Plus の脆弱性 CVE-2022-47966 を検索すると、何件かの攻撃に関する記事が参照できます。また、Fortinet FortiOS SSL-VPN の脆弱性 CVE-2022-42475 も、検索すると3件ほどの記事が参照できます。どちらの脆弱性も、2023年の春に CISA KEV に登録されていますが、こうして警告が発せられるということは、いまだに攻撃による被害が止まらないということなのでしょう。ご注意ください。