‘Magnet Goblin’ Exploits Ivanti 1-Day Bug in Mere Hours
2024/03/13 DarkReading — 2024年の初めには、Ivanti のエッジ・デバイスに脅威が集中した。そのうちの1つは、PoC 公開の翌日に One-day エクスプロイトを展開するという、きわめて素早い動きを見せつけていた。そして、この数カ月で悪用が明らかになった5つの脆弱性のうち、Ivanti Connect Secure/Policy Secure ゲートウェイのコマンド・インジェクションの脆弱性 CVE-2024-21887 (CVSS:9.1) は、注目に値するものである。
最近になって、Check Point の調査ブログで名前が挙がった “Magnet Goblin” は、この脆弱性をいち早く悪用したグループの1つだ。このグループは、PoC (Proof-of-concept) エクスプロイト・コード の公開から僅か1日以内に、このエクスプロイトを悪用するマルウェアを入手していた。
Check Point の Threat Intelligence Group Manager である Sergey Shykevich は、「彼らの動きは、きわめて素早かった。それは、彼らが悪用の仕方について、何らかの継続的なプロセスを持っていること、つまり、彼らにとって、パブリックなサービスの悪用は、初めてのことではないと推測される」とコメントしている。
Magnet Goblin について知っておくべきこと
これまでは未知の存在だった Magnet Goblin は、これまでにもパブリック向けサービスをワンデイで悪用してきた。悪用されたサービスとして挙げられるのは、eコマース・プラットフォームの Magento/データ分析サービスの Qlik Sense/Apache ActiveMQ などである。
Magnet Goblin は、Windows を実行しているデバイスの脆弱性を悪用する際には、ConnectWise の ScreenConnect や AnyDesk などの、リモート監視・管理 (RMM:Remote Monitoring and Management) ツールを利用することが多い。
このようなマルウェアは、その巧妙さよりも、エッジ・デバイスを主な標的として展開されるために、検知を回避できる可能性が平均よりも高い。Shykevich は、「その理由は、Linux に焦点を当てる点にある。また、現在の Windows には、より優れた防御機能が搭載されている」とコメントしている。
身を守るためにすべきこと:パッチを当てるだけでは不十分
Magnet Goblin だけでなく、Raspberry Robin ランサムウェア・グループなどの主要な脅威アクターも、かつてない勢いでワンデイ・エクスプロイトを仕掛けてきている。
そのため、Shykevich は、「肝心なのは、できるだけ早くパッチを当てることだ。ユーザーが、既にパッチを適用していることを願う。もしパッチが未適用であれば、過去2か月の間に、誰かに悪用された可能性がある」と述べている。
彼は、「それに加えて、Linux サーバなどの Linux 資産で、エンドポイント保護が施されていることを確認すべきだ」と、ユーザー組織に推奨している。
Shykevich は、「ここ1年半ほどは、多くの組織が Linux の保護を軽視していた。一般的に、Linux を扱う脅威の数はかなり少なく、また、Linux 向けのマルウェアも少なかったからだ。しかし、今回のようなマルウェアやランサムウェアのように、攻撃者が Linux に注目する傾向はますます強まっている。もはや、一つのトレンドだと言える。したがって、Linux サーバに関して推奨されるのは、 Windows に劣らず保護されていることの確認である」と述べている。
このところ、Magnet Goblin によるワンデイ・ハッキングというタイトルが、それぞれのメディアに散見されていました。その中から DarkReading を選んでみました。まず、ワンデイの由来ですが、PoC の公開から1日という意味とのことです。それにより、Ivanti の脆弱性 CVE-2024-21887 が悪用されてしまいました。PoC の持つ二面性を考えてしまう出来ごとです。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.