複数のランサムウェアグループがEntroLink VPNアプライアンスのゼロデイを悪用していることがわかりました。
このゼロデイは、韓国企業で人気のあるEntroLink PPX-AnyLinkデバイスに影響があると考えられており、ユーザー認証ゲートウェイやVPNとして使用され、従業員が会社のネットワークや内部リソースにリモートアクセスできるようにできるアプライアンスです。
これらの機器を標的としたエクスプロイトが、2021年9月13日に公開され、当初は別のフォーラムで5万ドルで販売されていましたが、新たに立ち上げたサイバー犯罪フォーラムの管理者が、他のサイバー犯罪グループの中でサイトの知名度を上げるためのプロモーションで無料で公開していました。
投稿によると、このエクスプロイトはまだパッチが適用されておらず、ネットワークプロトコルを悪用して、PPX-AnyLinkデバイスにルートレベルのアクセスでリモートコードの実行できるとのことです。
また、脆弱性は入力検証の問題であり、デバイスを侵害するのに必要な時間はわずか数秒であると説明されています。
ランサムウェアの攻撃を追跡調査している研究者によると、このエクスプロイトが公開されてからBlackMatterやLockBitといったランサムウェアの関連グループが、このエクスプロイトが使用して侵入行為を行っているようです
韓国のネットワークベンダーであるEntroLink社は、セキュリティ研究者からこのエクスプロイトが公開されたことを知らされましたが、この研究者と関わりを持たなかったようです。また同社の広報担当者は、電話での問い合わせに対しても、製品のセキュリティを担当する企業の担当者につなぐことを拒否しました。
セキュリティ研究者のAllan Liska氏とPancak3氏が管理するトラッカーによると、EntroLink PPX-AnyLinkエクスプロイトは、現在ランサムウェアグループが悪用することで知られる54番目のゼロデイ脆弱性となっています。
EntroLink PPX-AnyLink ゼロデイの問題を解決するために、企業に何度も連絡を取ったが応答がなかったので、十分な時間が経過したと感じています。
Comments