特定の悪意ある人物が米国政府のネットワークに侵入、あるいは侵入を試みるために、どのバグを悪用しているのか疑問に思っているなら、もう悩む必要はありません。そして、それらのバグにパッチを適用しておきましょう。
アメリカ合衆国国土安全保障省は今月、国のコンピュータシステムへの侵入経路として少なくとも6つ、そして侵入後にマシンを完全に制御するために使用された手法を特定しました。これらの6つの脆弱性とは…
- Citrix NetScaler の CVE-2019-19781
- MobileIronのCVE-2020-15505
- Pulse SecureのCVE-2019-11510
- Palo Alto Networks の CVE-2020-2021
- F5 BIG-IPのCVE-2020-5902
- Fortinet FortiOS SSL VPN の CVE-2018-13379。
...さらに、Microsoft Windows の CVE-2020-1472 (別名 ZeroLogon) が悪用され、Netlogon プロトコルを介してドメイン レベルの管理者アクセスに権限を昇格し、完全な制御を許可します。
たとえば、悪意のある人物が Fortinet のバグを利用して、ゲートウェイのメモリから SSL VPN ユーザーのユーザー名とプレーンテキストのパスワードを取得し、そのユーザー名とパスワードでログインした後、ZeroLogon を使用してネットワークの中枢神経である Active Directory に侵入できると伝えられています。
米国の大きな選挙が近づいており、セキュリティは極めて重要だ。そして、ああ、連邦政府機関が本当に完全に乗っ取られた。
続きを読む
「CISAは、フォーティネットFortiOS SSL VPNの脆弱性CVE-2018-13379がネットワークへのアクセスに悪用された複数の事例を認識している」と国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)は勧告の中で説明した。
CISAは、規模は小さいものの、MobileIronの脆弱性CVE-2020-15505を悪用する脅威アクターも確認しています。これらのエクスプロイトは最近確認されたものの、現在も活動が続いており、現在も進行中です。アクターは最初のアクセスを取得した後、CVE-2020-1472を悪用して、すべてのActive Directory(AD)IDサービスを侵害します。
同庁は、民間ネットワークだけでなく、大小さまざまな政府機関が運営するシステムも標的にされていると述べ、「最近の悪意ある活動は、連邦政府、州政府、地方政府、部族政府、領土政府(SLTT)のネットワークを標的にしていることが多いが、それだけではない」としている。
これらのコンピューターの一部は米国の11月の選挙に関連しているが、特に標的にされているようには見えないと付け加えた。いずれにせよ、投票記録や集計には影響がなかった。
FBI は 2016 年にも同様のことを述べており、[PDF] アメリカ政府の IT スタッフに、システムにパッチを適用して防御を強化するよう促しています。
今日のアドバイスは、上記の 7 つの欠陥に対処することです (修正プログラムは以前から利用可能でした)。すでに侵害を受けていると想定してそこから対処し、ZeroLogon が悪用された場合はアカウントの資格情報をリセットするなどしてください。
「この共同サイバーセキュリティ勧告に記載されている脆弱性、またはその他の脆弱性を持つ外部向けインフラデバイスを持つ組織は、『侵害を想定する』精神で前進する必要がある」とCISAは指摘した。
「初期の悪用とエスカレーションが唯一の観察可能な悪用活動である可能性があるため、ほとんどの緩和策は、より伝統的なネットワーク衛生とユーザー管理活動に焦点を当てる必要があります。
「システムと機器に迅速かつ丁寧にパッチを適用してください。」®
