Salt Typhoon Targeting Old Cisco Vulnerabilities in Fresh Telecom Hacks
2025/02/14 SecurityWeek — 中国政府が支援する APT グループ Salt Typhoon は、最近のテレコムに対する攻撃において、Cisco デバイスに存在する2つの既知の脆弱性を悪用していると、Recorded Future が報じている。
中国の Ministry of State Security (MSS) が指示していると考えられる、Salt Typhoon/RedMike/Earth Estrie/FamousSparrow/Ghost Emperor などの APT は、昨年に発生した米国テレコム9社へのハッキングに関与したとされ、そのメンバーは米国から制裁されている。
Recorded Future によると、Salt Typhoonは、その敵対行為の公表と制裁にもかかわらず、複数の国々のテレコムやや大学を標的にし続けており、脆弱なインターネット接続デバイスを悪用してイニシャル・アクセスを達成している。
具体的に言うと、このグループが標的とするのは、Cisco のスイッチ/ルーターに存在する脆弱性 CVE-2023-20198/CVE-2023-20273 である。これらの脆弱性は、2023年10月にゼロデイとして悪用され、情報が公開された、IOS XE プラットフォームに存在する深刻な欠陥である。
Recorded Future の最新レポート (PDF) には、「2024年12月初旬から RedMike は、テレコムのネットワークに関連するデバイスのリストを使用して、インターネットに露出する Cisco ネットワーク・デバイスの悪用を試みたと推定されるが、その規模は世界中で 1,000台を超える。RedMike が標的とした Cisco デバイスの半分以上は、米国/南米/インドに位置し、残りは 100 カ国以上に広がっていた」と述べている。
Recorded Future が特定した標的は、米国/南アフリカ/ミャンマーのテレコム・ネットワークおよび、アルゼンチン/バングラデシュ/インドネシア/マレーシア/メキシコ/オランダ/タイ/米国/ベトナムの大学ネットワークなどである。
すでに侵害が判明している被害者としては、英国テレコムの米国拠点の関連会社/米国のテレコムと ISP/南アフリカとタイのテレコム/イタリアの ISP などが挙げられる。また、大学に関しては、UCLA/ユタ工科大学/ロヨラ・メリーマウント大学/カリフォルニア州立大学/セベラス・マレット大学/ネゲリ・マラン大学/マラヤ大学/デルフト工科大学などがある。
この APT は、脆弱性を悪用して脆弱なデバイスに特権アカウントを作成し、それを足場として GRE (generic routing encapsulation) トンネルを追加して、永続的なアクセスを取得した後にファイアウォールをバイパスし、検出を回避しながらデータを盗み出していた。
Recorded Future によると、インターネットから Web UI にアクセスできる、Cisco のネットワーク・デバイスは 12,000 台以上も存在するという。この APT がテレコムに焦点を絞っていることを考えると、Salt Typhoon の活動において、標的とされた可能性が高いと示唆される。
Recorded Future は、「依然としてパッチ未適用のシステムが、中国由来の APT による主要なイニシャル・アクセス経路となっているため、特にテレコム組織は、インターネット上に露出しているデバイスの修復を優先する必要がある。ネットワーク管理者にとって必要なことは、厳格なアクセス制御を実施し、不要な Web UI の露出を無効化し、不正なコンフィグ変更を監視することだ」と指摘している。
2024年に発生した、Salt Typhoon によるテレコムへの攻撃において、Cisco の 古い脆弱性 CVE-2023-20198/CVE-2023-20273 が悪用されていたことが判明しました。本文中にも記されていますが、インターネットから Web UI にアクセスできる Cisco のネットワーク・デバイスは 、12,000 台以上も存在しているとのことです。ご利用のチームは、いま一度、ご確認ください。
なお、このインシデントについては、以下の関連記事も、ご参照ください。
2025/01/17:米政府の Salt Typhoon 制裁:中国の企業とハッカーを批判
2025/01/15:Salt Typhoon 侵害:最初の発見は政府のネットワーク内
2025/01/02:Salt Typhoon:Lumen がネットワークからの締め出しに成功
2024/12/29:Salt Typhoon:米国の9社目のテレコム侵害を確認
2024/12/23:Salt Typhoon:テレコムを含む数百の組織に広がる被害
IoT OT Security News 
You must be logged in to post a comment.