今年7月中旬、SolarWinds社は同社のファイル転送技術「Serv-U」に存在するゼロデイを修正する緊急セキュリティアップデートを公開しました。
その際、SolarWinds社は攻撃の詳細については一切語らず、マイクロソフト社のセキュリティチームからこの脆弱性を知ったとだけ述べていました。
マイクロソフト社は木曜日のブログ記事で、7月の攻撃についての詳細を明らかにし、このゼロデイは「DEV-0322」として追跡している新たな攻撃者の仕業であるとし、マイクロソフトは「観察された被害状況、戦術、手順に基づいて、中国から活動しているグループ」と説明しています。
マイクロソフトによると、このグループはSolarWinds Serv-Uサーバを標的にしており「オープンになっているSSHポートに接続し、不正なプレオーター接続要求を送信する」ことで、DEV-0322が標的のシステム上で悪意のあるコードを実行し、脆弱なデバイスを乗っ取ることができたとのことです。
侵入者がターゲットに侵入した後に何をしたかについては詳細を明らかにしていません。
ゼロデイの根本原因
マイクロソフトはCVE-2021-35211として追跡されているゼロデイ自体の技術的に分析しており、今回の攻撃が成功した原因の一つはServ-Uバイナリの一部がASLR(Address Space Layout Randomization)による保護を受けていなかったことにあります。ASLRとは攻撃者が特定のメモリセクションを狙ってアプリのメモリを破壊するのを防ぐために、アプリのメモリ位置をランダム化する機能です。
ASLRの保護機能が欠落していたため、マイクロソフトはServ-Uのゼロデイを悪用することは “それほど複雑ではない “と述べています。
ASLRを有効にすることは、デフォルトで有効になっているシンプルなコンパイル時のフラグで、Windows Vistaから利用できるようになっています。
昨年、ソーラーウインズの大規模なサプライチェーン攻撃のニュースが流れた後、諜報機関SVRに関連するロシアのサイバースパイチームによって行われた攻撃で、その後の調査で関連性のないソーラーウインズの脆弱性が中国のハッカーによっても悪用されていたことが判明しました。
これらの攻撃を発見した米国のセキュリティ企業Secureworks社は、中国のグループのコードネームを「Spiral」としています。
Secureworks社によると、2020年末から2021年初めに検出された攻撃でSpiralはCVE-2020-10148として追跡されたOrion ITモニタリングプラットフォームにおけるSolarWindsのゼロデイを悪用していました。
Comments