Salt Typhoon hackers exploited stolen credentials and a 7-year-old software flaw in Cisco systems
2025/02/20 NextGov — 2025年2月20日に Cisco が明らかにしたのは、ハッキング・グループ Salt Typhoon が、米国などの通信システムの宝庫に侵入した、大規模なハッキング・キャンペーンに関する情報である。
このキャンペーンでは、すでに盗み出されている認証情報が悪用されたが、あるケースでは7年前に発見されたソフトウェアの既知の脆弱性も悪用されたという。
中国の諜報機関とつながりのある Salt Typhoon の主要な戦略は、被害者のログイン情報を入手して Cisco のデバイスにアクセスするものだが、あるインシデントでは、NIST (National Institute for Standards and Technology) の脆弱性データベースに、7年間にわたって公開されている、Cisco ルーターの欠陥 CVE-2018-0171 が悪用されていた。
2018年の時点で、Cisco は修正プログラムをリリースしているが、パッチが適用されていないシステムは、無防備な状態を継続していた。ただし Cisco は、このハッキング・キャンペーンにおいて、Cisco の新たな脆弱性の悪用は発見されなかったと付け加えている。
Cisco の Talos Threat Intelligence Group は、「このキャンペーン全体を通じて、前もって窃取された有効な認証情報の悪用が確認されているが、現時点の全てケースにおいて、イニシャル・アクセスのための認証情報を、脅威アクターが取得した方法は不明である」と付け加えている。
NIST の脆弱性ページでは 2018年の時点で、「Cisco IOS/IOS XE ソフトウェアの Smart Install 機能に存在する、脆弱性の悪用に成功した未認証のリモート攻撃者は、影響を受けるデバイスのリロードによるサービス拒否 (DoS) 状態や、任意のコード実行の可能性を手にする」と解説されている。
Salt Typhoon の活動には、インフラストラクチャ・ピボットを回避する処方が、つまり、通信ネットワークを横方向に移動して、侵害したデバイスをジャンプ・ポイントとして悪用し、検出を回避する手法が取り込まれている。これまでに、少なくとも9社の米国テレコムが侵害を受けており、その他にも、世界中の数十社も侵害されている。
また、先週に Record Future が公開した調査結果によると、このサイバー・スパイは、英国の大手テレコムの米国関連会社と、南アフリカのプロバイダーが運用する、Cisco のプラットフォームに侵入したという。
同社の広報担当者は、「Salt Typhoon キャンペーンが、Cisco の範囲を超えるにつれて、我々の調査結果は、すべての影響を受けたインフラを網羅できなくなった。いつものように、ユーザーに対して強く推奨されるのは、既知の脆弱性を修正し、管理プロトコルのセキュリティ保護に関する、業界のベストプラクティスに従うことだ」と、Nextgov/FCW に語った。
2024年12月に Nextgov/FCW は、テレコムなどの数百の組織が、ハッカー集団による侵入の危険にさらされている可能性があると報告している。
Salt Typhoon は、犯罪者やスパイ容疑者を監視するために、法執行機関が使用する盗聴リクエストを格納する、米国の “合法的な傍受システム” にも侵入している。1994年に可決された法執行機関向け通信支援法に基づき、テレコムは自社のネットワークを、盗聴のために政府に提供することが義務付けられている。
このハッカー・グループは、Donald Trump 大統領および JD Vance 副大統領に加えて、ホワイトハウスに関連する高官の個人的な通信にアクセスした。国土安全保障省の調査機関がハッキングを調査していたが、トランプ政権は就任式の直後に、それを打ち切った。したがって、その調査が、どこまで進んでいるかは不明である。
2015年1月に財務省は、中国企業である Sichuan Juxinhe Network Technology に制裁を科し、Salt Typhoon による侵入において、同社と中国国家安全省がダイレクトに関与したと非難した。
トランプ大統領が任命した当局者や同盟国は、ハッキングに対する中国への報復を宣言し、サイバー空間における攻撃的な抑止アプローチを求めているが、現時点において具体的な計画は公に実行されていない。米国のシステムに対するサイバー攻撃への北京の関与について、ワシントン DC の中国大使館は繰り返し否定しており、中国を拠点として実施されるネットワーク・ハッキングであっても、米国に責任を押し付ける傾向が強いとされる。
つい1週間ほど前に、「Salt Typhoon の標的は Cisco の CVE-2023-20198/20273」という記事を投稿したばかりですが、2018年から存在する脆弱性も悪用されていたことが判明しました。この脆弱性 CVE-2018-0171 について、このブログで検索してみたところ、2022/12/19 に投稿した「Cisco 警告:IOS/NX-OS/HyperFlex の脆弱性が活発に悪用されている」でも、悪用が報告されていました。このインシデントは、過去のソフトウェア脆弱性が、今なお大きなリスクと成り得ることを浮き彫りにしています。
Salt Typhoon の侵害については、以下の関連記事も、ご参照ください。
2025/02/14:Salt Typhoon の標的は Cisco の CVE-2023-20198/20273
2025/01/17:米政府の Salt Typhoon 制裁:中国の企業とハッカーを批判
2025/01/15:Salt Typhoon 侵害:最初の発見は政府のネットワーク内
2025/01/02:Salt Typhoon:Lumen がネットワークからの締め出しに成功
2024/12/29:Salt Typhoon:米国の9社目のテレコム侵害を確認
IoT OT Security News 
You must be logged in to post a comment.