政府,防衛,金融機関のハッキング被害、中国が関与か:Pulse Secure VPNのゼロデイ脆弱性利用

news

Pulse Secure社は、Pulse Connect Secure(PCS)SSL VPNアプライアンスに存在するゼロデイ認証バイパス脆弱性への対策方法を発表しました。この脆弱性は、世界中の組織・企業・米国国防産業基地(DIB)ネットワークへの攻撃に悪用されていることがわかっています。

CVE-2021-22893(深刻度スコアは最大10/10)として追跡されている脆弱性に対して対策するために、Pulse Secureは、PCS 9.0R3以降を実行しているゲートウェイをお持ちのユーザに、サーバーソフトウェアを9.1R.11.4リリースにアップグレードすることを推奨しています。

回避策として、公開されたセキュリティアドバイザリに記載されている手順に従い、Windowsファイル共有ブラウザとPulse Secure連携機能を無効にすることで、一部のゲートウェイでこの脆弱性を軽減することができます。

また、Pulse Secure社は、ユーザのシステムが影響を受けているかどうかを判断するための「Pulse Connect Secure Integrity Tool」を公開しています。

中国系国家のハッカーが攻撃に関与か

CVE-2021-22893はPulse Secureの他の脆弱性と組み合わせてで悪用されており、国家が関与していると思われる犯罪者によって、米国および欧州の政府、防衛、金融機関の数十社のネットワークに侵入し、Pulse Connect Secureゲートウェイ上でリモートから任意のコードを実行していました。

サイバーセキュリティ企業のFireEye社がUNC2630およびUNC2717として追跡している少なくとも2つの犯罪組織が、これらの攻撃で12種類のマルウェアを展開していることがわかっています。

FireEyeはUNC2630の犯罪組織が、中国政府に代わって活動する既知の犯罪組織であるAPT5と関係があるのではないかとも考えています。

FireEye社によるとUNC2630は、早ければ2020年8月から2021年3月まで、SLOWPULSE、RADIALPULSE、THINBLOOD、ATRIUM、PACEMAKER、SLIGHTPULSE、PULSECHECKというマルウェアを使用して米国のDIB企業を標的にしていました。

UNC2717は、2020年10月から2021年3月にかけて、HARDPULSE、QUIETPULSE、PULSEJUMPというマルウェアを用いて世界の政府機関を標的にしていました。

FireEye SVP/CTOであるCharles Carmakal氏は、「これらの犯罪組織は高度な技術を持ち、Pulse Secure製品に関する深い技術的知識を持っています」と説明しています

「彼らは、Active Directoryの認証情報を取得し、Pulse Secureデバイスの多要素認証を回避して被害者のネットワークにアクセスできるマルウェアを開発しました。Pulse Secureシステム上のスクリプトを修正し、ソフトウェアのアップデートや工場出荷時のリセットにも耐えられるようにしています。この手法によって犯罪組織は数ヶ月間、検知されることなく被害者の環境へのアクセスを維持することができていました」

Fireeyeが公開したPulse Secureデバイスの多要素認証を回避して侵入する方法は下記URLにて

Authentication Bypass Techniques and Pulse Secure Zero-Day
We examine multiple techniques for bypassing single & multifactor authentication on Pulse Secure VPN devices and maintaining access through webshells.

UNC2630の主な目的は、ネットワークへの長期的なアクセスを維持し、認証情報を収集し、機密データを盗むことだとCarmakal氏は述べています。

現時点では、Pulse Secure社のネットワークやソフトウェアの導入プロセスをサプライチェーンで侵害して、バックドアを導入したという実例は見つかっていません。

Comments

タイトルとURLをコピーしました