アメリカ国内外の防衛企業、政府機関、金融機関数十社が、Pulse Connect Secure VPNアプライアンスの脆弱性を介して中国から侵入された模様だ。この中には、来月まで修正されないゼロデイ脆弱性も含まれている。
火曜日、Pulse Secureの親会社であるITソフトウェアサプライヤーIvantiは、一部のクライアントが暗号化されたゲートウェイ経由で侵害を受けた可能性があると明らかにし、顧客に警鐘を鳴らした。
「今月発見された新たな問題が、ごく少数の顧客に影響を与えました」と、パルスセキュアの最高セキュリティ責任者であるフィル・リチャーズ氏は世界に向けたメモで述べた。「チームは迅速に対応し、影響を受けた少数の顧客に対し、システムへのリスクを軽減する緩和策を直接提供しました。」
リチャーズ氏によると、ユタ州に拠点を置くIvantiは、FireEye/Mandiant、米国政府のサイバーセキュリティ・インフラセキュリティ庁、Stroz Friedbergなどのセキュリティ企業や業界団体と協力して侵入事件の調査に取り組んでいるという。米国政府はITおよびネットワーク管理者向けに警告を発している。
今度はF5が重大なセキュリティバグを明らかにする番だ。連邦政府はBIG-IPの欠陥についてすぐに警鐘を鳴らした。
続きを読む
一方、FireEye/Mandiantは勧告の中で、認証を回避しバックドアアクセスを提供することに重点を置いた、Pulse Secure VPNデバイスの悪用に関連する12のマルウェアファミリーを追跡していると述べた。
情報セキュリティ組織は、複数の脅威アクターがこれらのマルウェアを使用していると考えているが、本日のレポートの焦点は、UNC2630として特定されたグループの活動と、米国政府、防衛、民間部門の組織のネットワークを標的とする取り組みにある。
とはいえ、FireEye/Mandiantによると、「世界中の防衛、政府、金融機関への複数の侵入」がPulse社の機器の導入に関連しているとのことだ。「各侵入において、攻撃者の活動の最も初期の証拠は、影響を受けた環境内のPulse Secure VPNアプライアンスのDHCP IPアドレス範囲にまで遡った」と同社は付け加えている。
FireEyeの広報担当者はThe Registerに対し、UNC2630は中国当局の支援を受けて活動しているといわれるサイバースパイ集団APT5との関連が疑われると語った。
「ここ数か月、MandiantはPulseSecure VPNソリューションを悪用した複数の侵入に対応してきました」とFireEye/MandiantのSVP兼CTOであるチャールズ・カーマカル氏はThe Registerへの声明で述べています。
調査の過程で、VPNソリューションのゼロデイ脆弱性やその他の既知の脆弱性が悪用され、米国および海外の政府機関、金融機関、防衛企業など、数十の組織への侵入を容易にしていたことが判明しました。これらの侵入は、中国によるデータおよび情報収集の目的と一致していると考えられます。
VPNソリューションのゼロデイ脆弱性やその他の既知の脆弱性が悪用され、米国および海外の政府機関、金融機関、防衛企業を含む数十の組織への侵入が容易になった。
Ivantiは、4つの問題を発見したと述べています。これらは主に、2019年と2020年に修正された3つの脆弱性(セキュリティアドバイザリSA44101(CVE-2019-11510)、セキュリティアドバイザリSA44588(CVE-2020-8243)、セキュリティアドバイザリSA44601(CVE-2020-8260))に関連しています。お客様は、Pulse Security Integrity Checker Toolを利用して、システムに脆弱性があるかどうかを確認し、推奨される緩和策をまだ適用していない場合は適用することをお勧めします。
セキュリティアドバイザリSA44784(CVE-2021-22893)に関連する、Pulse Connect Secureの重大な脆弱性が未修正のまま存在し、開発者は5月上旬に修正予定と発表しています。深刻度は10点満点中10点と評価されているこの脆弱性は、認証バイパスに関連し、認証されていないユーザーがVPNゲートウェイ上で任意のファイルをリモートで実行できる可能性があります。
一度きりではない
カーマカル氏は、UNC2630として活動するスヌープたちは、認証情報の収集やデータの盗難のためにネットワークへの長期的なアクセスを維持するために、Pulse Secure製品に関する深い技術的知識を培ってきたと述べた。
「彼らは、Active Directoryの認証情報を収集し、Pulse Secureデバイスの多要素認証を回避して被害者のネットワークにアクセスできるようにするマルウェアを開発した」と彼は述べた。
彼らはPulse Secureシステムのスクリプトを改変し、マルウェアがソフトウェアアップデートや工場出荷時設定へのリセット後も生き残るようにした。この巧妙な手法により、攻撃者は数ヶ月間、検知されることなく被害者の環境へのアクセスを維持することができた。
FireEye/Mandiantは、UNC2630はSLOWPULSEと名付けた新しいマルウェアファミリーを使用しており、その4つの亜種のうち3つは2要素認証を回避することができると述べた。
- データ保護にPulse Secure VPNを使っているのですね?パッチを当てた方がいいですよ。さもないとランサムウェアの脅威にさらされることになります。
- 週末に出かける前に、Pulse Secure VPNにパッチを適用しましたか?フィッシングリンクで乗っ取られるのは避けたいですよね?
- 中国が先導すればイランも追随:米国、Citrix、Pulse Secure、F5のVPNを悪用する「契約」ハッカーに警告
- US-Certの警告!大規模なバグにより、VPNは「Vigorously Pwned Nodes」の略称に
FireEye/Mandiantは、3月に別のスパイグループUNC2717によるものとされ、欧州の組織を標的としたインシデントが、UNC2630の活動といくつかの類似点を示していると述べた。2020年10月から2021年3月にかけて政府機関を標的としていたことが確認されたUNC2717が、政府機関と関連しているかどうかは現時点では不明である。
「UNC2717については、どの国がスポンサーなのかを判断するのに十分な情報がなく、現在も証拠を収集しているところです」と、マンディアント脅威インテリジェンスのシニア主席アナリスト、サラ・ジョーンズ氏はThe Register宛ての電子メール声明で述べた。
セキュリティ企業はまた、Pulse Secureシステム上の通信を保護するために使用されている暗号化を弱める可能性のある方法で改変されたOpenSSLライブラリファイルを発見したと発表しました。この改変は、攻撃者が知っている値を使用することで乱数生成を破ります。同社は、このファイルの出所やそれを使用しているグループについて十分な情報が得られていないため、詳細をお伝えできないと述べています。
偶然にも、バイデン政権は火曜日、複数のセクターにわたってサイバーセキュリティを強化するという広範な取り組みの一環として、米国の電力インフラのサイバーセキュリティを向上させる100日計画を発表した。®
