国家ハッキンググループがZohoのゼロデイを利用してヒューストン港を狙っていたことが発覚

news

米国最大の港湾局であるヒューストン港が、Zohoユーザー認証アプライアンスのゼロデイ脆弱性を利用して、国家支援のハッキンググループによるネットワーク侵入を試みられていたことが、上院の公聴会でCISA関係者によって発表されました。

ヒューストン港の担当者は、この攻撃を防御することに成功したが「結果として業務データやシステムに影響はなかった」と述べています。

DocumentCloud

この攻撃に関する調査の結果、CISA、FBI、沿岸警備隊は、9月16日、Zohoのゼロデイを利用した国家的ハッキンググループによる攻撃について、米国の組織に警告する共同勧告を発表しました。

APT Actors Exploiting Newly Identified Vulnerability in ManageEngine ADSelfService Plus | CISA

Zoho が 2021 年 9 月 6 日にリリースした Zoho ManageEngine ADSelfService Plus ビルド 6114 は、CVE-2021-40539 を修正しています。

FBI、CISA、CGCYBERは、ADSelfService Plusのビルド6114にアップデートすることをユーザーおよび管理者に強く推奨します。またADSLESTER Plus がインターネットから直接アクセスできないようにすることを強く推奨します。

さらに、NTDS.dit ファイルが侵害された兆候が見られた場合、ドメイン全体のパスワードリセットおよび二重の Kerberos Ticket Granting Ticket (TGT) パスワードリセットを行うことを強く推奨します。

https://us-cert.cisa.gov/ncas/alerts/aa21-259a

セキュリティ企業CrowdStrike社の主席情報アナリストであるMatt Dahl氏によると、このゼロデイは8月下旬から攻撃に使用されていたとのことです。

Zohoは9月8日にこの脆弱性(CVE-2021-40539)にパッチを当てましたが、その際にCISAも継続的な攻撃に対する警告を発しています。

CISAの担当者によると、ヒューストン港への攻撃は、まだ特定のハッキンググループや外国政府によるものとは断定されていません。

CISAのジェン・イースタリー長官は、上院国土安全保障・政府問題委員会で上院議員に対し、「脅威の主体が誰であるかを断定的に述べることができるという点で、常に複雑である」と述べた。

最も洗練された攻撃者は、SolarWindsの例のように自分の足跡を消し、存在を曖昧にすることでネットワークに長時間とどまり、データを抽出できるようにするために苦心をしています。

しかし、我々は省庁間のパートナーや情報機関と緊密に連携し、この攻撃者をより深く理解することで、システムを守るだけでなく、最終的にはこれらの行為者に責任を負わせることができるようにしています

とCISA長官は付け加え、その後の質問への回答で攻撃者を「国民国家の行為者」と分類しました。

Comments

Copied title and URL