CISA orders agencies to address Backup Exec bugs exploited in ransomware attack

金曜日、米国のサイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) は、攻撃者が攻撃で使用したセキュリティ問題のリストを 5 つ増やしました。そのうちの 3 つは Veritas Backup Exec でランサムウェアの展開に悪用されました。

脆弱性の 1 つは、Samsung の Web ブラウザを標的とするエクスプロイト チェーンの一部としてゼロデイとして悪用され、別の脆弱性は、攻撃者が Windows マシンの権限を高めることを可能にしました。

ランサムウェア攻撃における初期アクセス

CISA が今日、Known Exploited Vulnerabilities (KEV) のカタログに追加した 5 つの脆弱性のうち、重大と評価されたのは 1 つだけでした。Veritas のデータ保護ソフトウェアの問題は CVE-2021-27877 として追跡されており、昇格された権限でのリモート アクセスとコマンドの実行が許可されています。 .

サイバーセキュリティ企業Mandiant からの今週初めのレポートによるとCVE-2021-27877が ALPHV/BlackCat ランサムウェア オペレーションの関連会社によって使用され、ターゲット ネットワークへの初期アクセスが取得されました。

Veritas Backup Exec に影響を与える他の 2 つの欠陥 ( CVE-2021-27876CVE-2021-27878 ) も攻撃に利用され、侵入者が任意のファイルにアクセスし、システム上で任意のコマンドを実行できるようになりました。

Veritas が 2021 年 3 月に 3 つの脆弱性すべてにパッチを適用したこと、および現在パブリック Web 経由で数千の Backup Exec インスタンスにアクセスできることは注目に値します。

エクスプロイト チェーンがスパイウェアを配信

Samsung の Web ブラウザーに対して悪用されるゼロデイ脆弱性は、 CVE-2023-26083として追跡されており、Arm の Mali GPU ドライバーに影響を与えます。

2022 年 12 月に Google の Threat Analysis Group (TAG) によって発見されたキャンペーンで商用スパイウェアを配信したエクスプロイト チェーンの一部であるセキュリティの問題は、機密性の高いカーネル メタデータの公開を可能にする情報漏えいです。

3 月末の前回の KEV アップデートで、CISA はエクスプロイト チェーンで利用された他の脆弱性をカタログに含めました。そのうちのいくつかは、攻撃の時点でゼロデイでした。

KEV に追加された CISA の 5 番目の脆弱性は、 CVE-2019-1388として識別されます。これは、Microsoft Windows 証明書ダイアログに影響を与え、以前に侵害されたマシンで昇格された特権でプロセスを実行する攻撃に使用されています。

米国の連邦政府機関は、4 月 28 日までに、新たに追加された脆弱性によってシステムが影響を受けるかどうかを確認し、必要な更新を適用する必要があります。

2021 年 11 月からの拘束力のある運用指令(BOD 22-01) の一環として、連邦民間行政機関 (FCEB) 機関は、現在 911 のエントリがある KEV カタログに含まれるすべてのバグについてネットワークをチェックして修正する必要があります。

KEV が主に連邦機関を対象としているとしても、世界中の民間企業がカタログの脆弱性を優先的に扱うことを強くお勧めします。