Cybersecurity Alert: Unseen WIREFIRE Web Shell Variant in ICS VPN Appliances
2024/01/28 SecurityOnline — 先日に QuoIntelligence が発見したのは、Python ベースのインプラントである WIREFIRE という Web シェルの新たな亜種だ。この亜種が発見されたのは、2つのゼロデイ脆弱性 CVE-2024-21887/CVE-2023-46805 を悪用して侵害された、Ivanti Connect Secure (ICS) VPN アプライアンスである。この亜種の登場が浮き彫りにするのは、サイバー・スパイ戦術の大幅な進化であり、また、インターネットに面した VPN デバイスのセキュリティに関する懸念である。
この WIREFIRE の亜種は、ICS VPN エクスプロイトの調査中に発見された。オリジナルの WIREFIRE Web シェルは、”/api/resources/visits.py” ファイルに配置されている。しかし、この新しい亜種は、”/api/resources/category.py” で発見された。この場所への移動が意味するのは、検知メカニズムを回避して、公開されている YARA ルールによる捕捉を避けようとする、脅威アクターの意図的な試みである。
この WIREFIRE の亜種は、その手法において、特にデータ送信/実行において、微妙ではありながら重大な変化を示している。特徴的なのは、暗号化されたペイロードを送信するためにクッキーを活用する点であり、これまでの “visits.py“ 内の GIF ファイルへの依存とは異なる。クッキーが設定されていない場合には、この悪意のコードは、API リクエストから暗号化されたペイロードを抽出する。
この亜種には、Python の “exec()” 関数を通じて悪意のコードを実行するという、革新的なコードが追加されている。このテクニックは、Python の “globals()” 関数/”locals()” 関数を、データ保存に活用することで、連続した POST リクエストにまたがるデータの保持と永続化を容易にするものだ。
この新しい亜種が発見されたとき、Mandiant が提供したものを含む、既存の YARA ルールは効果を発揮できなかった。この見落としは、脅威アクターが検出を回避するために僅かな修正を加えて、異なるディレクトリに新しい Web シェルを展開していることに起因していた。QuoIntelligence は、この問題に対処するために、場所に関係なく、これらの Web シェル間の共通点を検出する、制限の少ない一時的な YARA ルールを作成した。
この WIREFIRE 亜種の発見は、サイバー脅威の絶え間ない進化と、適応性のあるセキュリティ対策の重要性を浮き彫りにした。組織は警戒を怠らず、検知ツールや戦術を継続的に更新し、このような洗練されたステルス性の高い脅威に対応しなければならない。
原文では、2つのゼロデイ脆弱性として “CVE-2023-21887/CVE-2023-46805” が挙げられていますが、お隣のキュレーション・チームに聞いてみたところ、CVE-2023-21887 は MySQL の脆弱性であり、1月18日の Oracle のアップデートで既知になったものだとのことです。なんとなく違和感なので、Quointelligence から Volexity へとアドバイザリを確認していったら、”CVE-2024-21887″ の間違いだと分かりました。なお、CVE-2023-46805 は、1月11日の Ivanti のアップデートで判明しているものとなります。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.