Ivanti Connect Secure VPN の脆弱性：中国由来ハッカーによるマルウェア展開で悪用

State-sponsored hackers know enterprise VPN appliances inside out

2024/02/29 HelpNetSecurity — Ivanti Connect Secure VPN の脆弱性を悪用して、さまざまな組織に侵入している、中国の国家支援ハッカーと思われるグループ UNC5325 は、アプライアンスに精通しているようだと、Mandiant のインシデント対応者や脅威ハンターたちは述べている。このハッカーたちは、デバイス上で数多くの改ざんを行っていた。さらに、システムのアップグレード／パッチ適用／工場出荷状態リセットなどの対策に影響されることなく、侵入した環境での永続性を獲得するために、UNC5325 は特殊なマルウェアやプラグインの展開も成功させていた。

Mandiant の専門家たちは、「UNC5325 が展開したマルウェアのコードには、暗号化キーの不一致を考慮するロジックが欠如している。そのため、持続性を維持するためのごく少数の試みが観察されているが、現時点においては成功に至っていない。しかし、ターゲットへのアクセス維持 のために、UNC5325 が用いる手段が示唆されており、このネットワーク・アプライアンスに対する最新のアップデートとパッチ適用の確認がきわめて重要だという状況を浮き彫りにしている」と指摘している。

特別に細工されたマルウェアとプラグイン

いくつかの Ivanti Connect Secure の脆弱性の悪用から始まった、最近の連続的な攻撃の背後には、UNC5325／UNC3886 という、２つの別個の脅威グループがいると、Mandiant は見ている。この２つのグループは中国のサイバー・スパイであり、おそらく繋がりがあると、同社は捉えているようだ。

今回の攻撃で最も興味深いのは、企業の防御者の努力にもかかわらず、標的デバイス上でハッカーたちが永続性を達成した点にある。つまり、ゼロデイ脆弱性の悪用や緩和策の回避だけではなく、この攻撃者は専門的な知識を活用していたことになる。

研究者たちによると、UNC5325 は検知回避のために living-off-the-land テクニック (LotLs) を使用し、デバイス上の足場を永続的にするために、新たなマルウェア (LITTLELAMB.WOOLTEA) とバックドアを使用しようとしていたという。

ハッカーたちは、一般に公開されている Interactsh などのサービスを利用して脆弱なデバイスを検出し、リバース・シェルや Web シェルを展開していた。

研究者たちは、「Ivanti 製品独自の組み込みシステム・ユーティリティを使用することで、Perl モジュールや LotL テクニックを独創的に改変し、マルウェア BUSHWALK を休止状態に維持し、検知からの回避を可能にするテクニックを発見した」と述べている。

2月27日に Ivanti は、アプライアンスの復号化されたスナップ・ショットを提供する、強化版の外部整合性チェック・ツールをリリースした。

いくつかのケースでは、脆弱性 CVE-2024-21893 を悪用する攻撃者が、Ivanti Connect Secure アプライアンスの正規コンポーネントである、SparkGateway のプラグインを使用して設定ファイルを改ざんし、アプライアンスのプロセスに共有オブジェクトを注入するという状況も発見された。この共有オブジェクトは、システムのアップグレード／パッチ／工場出荷時リセットなどの後であっても、バックドアを持続し、再展開を試みるものだ。

Mandiant の研究者たちは、「Ivanti のゼロデイの悪用が、多数のアプライアンスに影響を及ぼしている可能性が高い。この活動の多くは自動化されているが、攻撃者の TTPs (Tools, Tactics, and Procedures) に関するヒントとなる、いくつかの連鎖的な活動も発見されている。さらに多くの攻撃者が、一連の脆弱性の悪用を開始する可能性が高いと、我々は見ている」と述べている。

他の企業向け VPN アプライアンスも攻撃されている

国家に支援されるハッキング・グループ (APT) が、組織への侵入の足がかりを得るために、エッジ・デバイスを侵害することは目新しいものではない。しかし、今回においては、ハッカーたちがターゲット・デバイスを熟知していることが、徐々に明らかになってきた。

オランダの諜報機関の 2024年2月初旬のレポートによると、中国の APT グループが、2023年にオランダ国防省に侵入し、Fortinet の FortiGate (VPN 内蔵ファイアウォール) アプライアンス用に特別に構築された、新たな RAT (Remote Access Trojan) を展開したという。システムの再起動やファームウェアのアップグレードの後においても、この Coathanger と名付けられた RAT は有効性を保つという。

UPDATE (February 29, 2024, 04:10 a.m. ET):

UK National Cyber Security Centre (NCSC) の Technical Director for Platforms Research である David C は、「攻撃者たちが認識しているのは、インターネット上に露出した製品の大半が、安全な設計になっていないため、それらの脆弱性の発見は、一般的なクライアント・ソフトウェアより、はるかに容易になるという点である。さらに、これらの製品は、一般的に適切なロギングを備えていないものが多く、また、フォレンジック調査が容易でないことも多い。そのため、ハイエンドな検出機能を実行しているネットワークにおいて、すべてクライアント・デバイスは、絶好の足がかりとなる」と警告している。

NCSC はユーザー組織に対して、「ベンダーに “安全設計” の製品を要求し、セルフ・ホスト型サービスからクラウド・ホスト (SaaS) 型製品への移行を検討することで、基盤となるインフラの維持を心配する必要がなくなる」とアドバイスしている。

さらに David は、「攻撃により、データが危険にさらされることに変わりはないが、攻撃者にネットワーク上の足がかりを与えてはならない。ベンダーのセキュリティ・チームは、そのサービスを注意深く監視している可能性が高い (各組織も自社の全サービスを監視する必要がある)。そのため、もし侵害が生じても、ベンダーからデータは持ち出されない可能性が高まる。残念なことに、境界に対して完全なパッチが適用されていれば、安全だったという時代は、とっくに終わっている。これからは、アクセス可能なポートを見つけさせないための、境界スキャンを目指すという時代になるだろう」と述べている。

UPDATE (February 29, 2024, 12:10 p.m. ET):

今回の攻撃者は SparkGateway プラグインを介して、永続性を達成しようと試みたが、最終的には失敗した。この記事は、そのインシデントを紹介するために修正された。

なんというか、中国の APT の高い技術力を痛感させられる状況ですね。この脆弱性 CVE-2024-21893 については、2024/02/12 の「Ivanti の SSRF 脆弱性 CVE-2024-21893：新たな DSLog バックドアの展開に悪用される」で詳しく解説されていますので、よろしければ、Ivanti で検索と併せて、ご参照ください。