ProxyLogon & ProxyShell Vulnerabilities Back: Gov’t Emails Breached
2024/07/02 SecurityOnline — 悪名高い脆弱性である ProxyLogon と ProxyShell だが、 Microsoft Exchange サーバにおける大混乱を引き起こしてから、約3年が経過している。しかし、最近になって、これらの脆弱性を悪用してイニシャル・アクセスを行い、機密通信を盗聴する可能性のあるサーバが、Hunt Research Team により特定された。この新たな活動は、アジア/ヨーロッパ/南米などの、複数の地域の政府機関に影響を及ぼしている。
脆弱性 ProxyLogon/ProxyShell は、2021年に初めて公表されてから、深刻なリスクをもたらし続けている。ProxyLogon と呼ばれる CVE-2021-26855 は、SSRF (server-side request forgery) の脆弱性である。この脆弱性の悪用に成功した攻撃者は、悪意の XML ペイロードを持つ Web リクエストを Exchange Web Services (EWS) API エンドポイントへ送信し、認証を必要とせずに被害者のメールボックスを操作できるようになる。
その一方で ProxyShell は、3つの脆弱性 (CVE-2021-34473/CVE-2021-34523/CVE-2021-31207) から構成され、認証されていない攻撃者に対してポート 443 経由で、サーバ上でのコマンド実行を許してしまうものだ。愚弟的に言うと、攻撃者は Autodiscover や MAPI (Messaging Application Programming Interface) などの正当なサービスを利用することで、ユーザーの識別名 (DN:distinguished name) とセキュリティ識別子 (SID:security identifier) を取得できる。続いて攻撃者は、SID を使ってアクセス・トークンを偽造し、ターゲット・ユーザーになりすまして EWS と通信できるようになる。
Image: Hunt
Hunt.io の調査は、DigitalOcean でホストされる IP アドレス 167.71.173_239 のサーバが、ポート 8111 でディレクトリを公開していることの発見から始まっている。最初にチームの注意を引いたのは、合計で 3,923 件という、膨大な量のファイルだった。同チームは、標的にされた人々を保護するために、レポートのEメール・アドレスを隠蔽した。 “阿富汗” (簡体字でアフガニスタン) と題されたディレクトリの最初のフォルダには、761 件のファイルがあり、サイズは 149MB だった。他のフォルダも同様に、ラオスを表す “La” などの国名がラベル付けされていた。
この悪意のサーバの管理者は、すぐに設定ミスに気づき、最初の発見から 12時間も経たずに、ポート 8111 はリクエストに応答しなくなった。しかし、Hunt.io はアクセスが制限される前に、ホストされているファイルの大半をダウンロードすることに成功した。アフガニスタン/グルジア/アルゼンチン/ラオスなどの、国防省/内務省/大統領府の何千もの機密通信が、このサーバから確認された。
攻撃者は、防衛/諜報/国際などの機密分野に関わる政府機関に焦点を当て、慎重に標的を選んだようだ。盗み出された電子メールからは、それぞれの政府内部でのコミュニケーションが垣間見えるため、国家安全保障が脅かされる可能性が生じている。
現時点において、これらの攻撃の動機は不明だが、政府機関を標的にしていることから、スパイ活動の可能性があるとされる。実行犯の特定は依然として困難であるが、高度なテクニックの使用と標的を絞ったキャンペーンの性質から、十分な資金を持つ洗練された脅威アクターであると考えられる。
ProxyLogon と ProxyShell ですが、このブログ内を検索してみたところ、ProxyLogon に関しては 2022/06/29 に1本の記事がポストされていました。その一方で、 PoxyShell に関しては 2021年に、何本かの記事がポストされているという状況でした。また、それらの脆弱性に関連して、2023/12/02 に「Microsoft Exchange の古い脆弱性:インターネットに露出する 20,000 のサーバについて考える」という記事がポストされていました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.