SonicWall 電子メール セキュリティのゼロデイ エクスプロイトが企業の侵害につながる

SonicWall Email Security ecosystem overview (via SonicWall) news

2021 年 3 月、Mandiant Managed Defense は、SonicWall の E メール セキュリティ (ES) 製品で、実際に悪用されていた 3 つのゼロデイ脆弱性を特定しました。これらの脆弱性は、SonicWall ES デバイスでの管理者アクセスとコード実行を取得するために一緒に実行されました。攻撃者は、SonicWall アプリケーションに関する深い知識を持ってこれらの脆弱性を利用して、バックドアをインストールし、ファイルや電子メールにアクセスし、被害組織のネットワークに横方向に侵入しました。

脆弱性は、次の CVE で追跡されています。

CVE-2021-20021

9.8

不正な管理者アカウントの作成

CVE-2021-20022

7.2

認証後の任意ファイルアップロード

CVE-2021-20023

4.9

認証後の任意ファイル読み込み

Mandiant は、SonicWall 製品セキュリティおよびインシデント対応チーム (PSIRT) と協力して、この情報の責任ある開示を行っています。 SonicWall は、すべてのお客様とパートナーに対し、Windows ユーザーには 10.0.9.6173 Hotfix に、ハードウェアおよび ESXi 仮想アプライアンス ユーザーには 10.0.9.6177 Hotfix にアップグレードすることをお勧めします。 SonicWall Hosted Email Security 製品は、すべての顧客に対して自動的に更新され、パッチを適用するための追加のアクションは必要ありません。ホットフィックスは、今後の SonicWall ES 10.0.10 リリースにも置き換えられます。

詳細については、SonicWall が公開しているKB 記事を参照してください。

すべてのパッチ、アップグレード、および修正プログラムは、 MySonicWall サイトからダウンロードできます。

概要

SonicWall Email Security ecosystem overview (via SonicWall)
図 1: SonicWall E メール セキュリティ エコシステムの概要 ( SonicWall経由)

SonicWall Email Security (ES) は、「包括的なインバウンドおよびアウトバウンド保護を提供し、ランサムウェア、ゼロデイ脅威、スピア フィッシング、ビジネス メール詐欺 (BEC) などの高度な電子メール経由の脅威から防御する」電子メール セキュリティ ソリューションです。このソリューションは、物理アプライアンス、仮想アプライアンス、ソフトウェア インストール、またはホスト型 SaaS ソリューションとして展開できます。

サンプル SonicWall 電子メール セキュリティ ログイン ページ
図 2: SonicWall Email Security ログイン ページの例

多くのアプライアンスと同様に、このソリューションは、製品構成の主要な手段として機能する、豊富な Web アクセス可能な管理インターフェイスを提供します。このソフトウェアは、OS に依存しない Apache Tomcat と Java を大いに活用しているため、お客様の展開方法によっては、Windows または Unix で実行できる可能性があります。このソリューションでは、このインターフェイスをインターネットに公開する必要はありませんが、インターネット全体のスキャンでは、公開されている約 700 のインターフェイスが表示されます。

調査

2021 年 3 月、Mandiant Managed Defense は、顧客の環境内のインターネット アクセス可能なシステムで、エクスプロイト後の Web シェル アクティビティを特定しました。 Managed Defense は、システムを隔離し、証拠を収集して、システムがどのように侵害されたかを特定しました。

このシステムは、標準の Windows Server 2012 インストールで実行されている SonicWall Email Security (ES) アプリケーションであることがすぐに特定されました。攻撃者がインストールしたウェブ シェルは、SonicWall ES にバンドルされている HTTPS 対応の Apache Tomcat ウェブ サーバを通じて提供されていました。アプリケーションにバンドルされた Web サーバで Web シェルが提供されているため、SonicWall ES アプリケーション自体に関連する侵害であるとすぐに疑いました。

お客様に連絡したところ、SonicWall ES のインストールはダウンロード可能な最新バージョン (10.0.9) であり、脆弱性や悪用に関する公開情報はないことがわかりました。潜在的なアプリケーション レベルの脆弱性が悪用されて Web シェルがインストールされたかどうかを判断するために、Mandiant はエンドポイントのテレメトリ データを収集しました。

私たちはすぐに、Web シェルのコンテキストで実行された、システム上の証拠を破壊することを目的としたエクスプロイト後の活動を特定しました。攻撃者は、Web シェルをインストールした直後に次のコマンドを実行しました。

cmd.exe /c “echo “” > “C:/Program Files (x86)/SonicWallES/logs/webUI/webui.json

図 3: 現在の「webui.json」ログの既存のエントリをクリアする攻撃者

このコマンドは、SonicWall ES ウェブ アプリケーションによって記録された最新のアプリケーション レベルのログ エントリを削除しました。ログ ファイルの消去は標準的なフォレンジック対策手法ですが、アプリケーションによって生成された内部ログ ファイルの場所を理解することは、通常、ほとんどのスプレー アンド プレイ攻撃者によって見落とされています。これにより、SonicWall ES アプリケーションがどのように機能するかを熟知している敵対者を扱っているのではないかという疑念が強まりました。

幸いなことに、追加のログ ファイルと以前に作成した仮想サーバーのスナップショットから、ホスト上の脆弱性と攻撃者の活動を追跡するのに十分な証拠が得られました。

脆弱性

CVE-2021-20021

不適切に保護された API エンドポイントによる認証されていない管理アクセス

SonicWall Email Security アプリケーションには、管理機能を提供する認証済みコントロール パネルが含まれています。利用可能な機能の 1 つを使用すると、アプリケーション管理者は別の Microsoft Active Directory 組織単位 (AD OU) から追加の管理者アカウントを承認できます。

https://<SonicWall ES ホスト>/createou?data=<ここに XML>

図 4: 任意のユーザー作成に関連する脆弱なエンドポイントの編集済みの例

ただし、このフォームへのリクエストは、アプライアンスへの以前の認証を必要とすることが確認されていません。

この脆弱性により、巧妙に作成された XML ドキュメントを持つ敵対者は、そのドキュメントをアプリケーションに GET または POST し、「role.ouadmin」アカウントを作成する可能性があります (図 4)。このアカウントは、管理者としてアプリケーションを認証するために使用できます。

CVE-2021-20022

認証後の「ブランディング」機能による任意のファイルのアップロード

Web ベースのユーザー インターフェースを備えた多くのエンタープライズ製品と同様に、SonicWall Email Security には「ブランディング」と呼ばれる機能が含まれており、管理者はこの機能を使用して、会社のロゴなどの特定のアセットをカスタマイズしてインターフェースに追加できます。これらのブランディング アセットはパッケージを介して管理され、カスタム テキスト、画像ファイル、およびレイアウト設定を含む ZIP アーカイブをアップロードすることで、新しいパッケージを作成できます。ファイルの検証が行われないと、攻撃者が任意のファイル (Web シェルなどの実行可能コードを含む) をアップロードできる可能性があります。

アップロードされると、これらのブランディング パッケージの ZIP アーカイブは通常、展開されて<SonicWall ES インストール パス>databrandingディレクトリに保存されます。ただし、攻撃者は、図 5 のようなディレクトリ トラバーサル表記のシーケンス内のファイルを含む ZIP アーカイブを作成することにより、Web アクセス可能な Apache Tomcat ディレクトリなどの任意の場所に悪意のあるファイルを配置する可能性があります。

Zip Slip Web シェルを含む ZIP アーカイブの例
図 5: Zip Slip Web シェルを含む ZIP アーカイブの例

Zip Slip 攻撃を可能にする検証の欠如は、SonicWall Email Security に固有のものではないことに注意することが重要です。トピックに関する Snyk の調査で詳しく説明されているように、それらは、アプリケーションの構築元となった多くのコード ライブラリ内に存在します。

CVE-2021-20023

ディレクトリトラバーサルにより、認証後の「ブランディング」機能で任意のファイルが読み取られる

Mandiant は、管理パネルに組み込まれている「ブランディング」機能に別の認証後の脆弱性があることを確認しました。この脆弱性により、敵対者は細工された HTTP GET リクエストを特定のリソースに送信することで、ホストから任意のファイルを取得できます。図 6 は、このような要求のフォーマットを示しています。

https://<SonicWall ES ホスト>/dload_apps?action=<任意の値>&path=..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2Fcalc.exe&id=update

図 6: Windows 電卓をダウンロードする Web 要求の例

このブランディング機能の作業ディレクトリは<SonicWall ES インストール パス>dataupdatesですが、ディレクトリ トラバーサルの脆弱性により、攻撃者はこのディレクトリの外にあるファイルにアクセスできます。この要求を処理する Apache Tomcat Web サーバーはNT AUTHORITYSYSTEMアカウントとして動作しているため、オペレーティング システム上の任意のファイルにアクセスできます。

攻撃者は、3 つすべてのエクスプロイトの組み合わせを交互に利用して、次のアクションを実行しました。

  1. SonicWall ES デバイスでの新しい管理者アカウントの作成
  2. 既存のローカルに構成された管理者アカウントのハッシュ化されたパスワードの公開
  3. 任意のディレクトリに Web シェルを作成する
  4. 悪用の成功と失敗のリアルタイムデバッグ

搾取後

CVE-2021-20021 を介してアプライアンスへの管理アクセスを取得すると、攻撃者は CVE-2021-20023 を悪用して、アプリケーションの「ブランディング」機能のコンポーネントであるリソース/dload_appsに巧妙に細工された HTTP リクエストを送信しました。これらの要求は、ディレクトリ トラバーサル攻撃を利用して、それぞれ<SonicWall ES インストール パス>datamulti_accounts.xml<SonicWall ES インストール パス>datamulti_ldap.xmlにある 2 つの機密 XML 設定ファイルへのアクセスを可能にしました (図 7)。

GET /dload_apps?action=REDACTED&path=..%2Fmulti_accounts.xml&id=update

GET /dload_apps?action=REDACTED&path=..%2Fmulti_ldap.xml&id=update

図 7: CVE-2021-20023 を悪用する HTTP GET リクエスト

これらのファイルには、既存のアカウントに関する詳細と、アプリケーションで使用される Active Directory 資格情報が含まれていました。

次に、攻撃者は管理パネルの「ブランディング」ページから、BEHINDER JSP Web シェルを含む ZIP アーカイブをアップロードしました。巧妙に細工された ZIP アーカイブは、Zip Slip 攻撃を使用して CVE-2021-20022 を悪用し、Web シェルが Web アクセス可能な Apache Tomcat ディレクトリ<SonicWall ES インストール パス>Apache Software FoundationTomcat 9.0webappsSearchEngineRMIServiceに書き込まれました。 .

BEHINDER は、暗号化されたコマンド アンド コントロール (C2) 通信を受け入れる、公開されているマルチプラットフォームの Web シェルです。原則として、BEHINDER は、FireEye によって以前に詳細が説明された人気のある Web シェルであるCHINA CHOPPERと同様に動作します。 CHINA CHOPPER と同様に、攻撃者はクライアント側アプリケーションを操作して、HTTP 要求の本文内でコマンドを Web シェルに渡します。バックドアのコア機能はクライアント側のアプリケーションに含まれているため、BEHINDER は CHINA CHOPPER と同様にサイズが小さいという利点があり、今回の調査で確認された亜種は 1 キロバイト未満でした (図 8)。

Mandiant が観測した BEHINDER Web シェル。AES 暗号化および base64 エンコードされたコマンドを実行します。
図 8: Mandiant が観測した BEHINDER Web シェル。AES 暗号化コマンドと base64 エンコード コマンドを実行します。

サーバーに Web シェルを追加することで、攻撃者は、 NT AUTHORITYSYSTEMアカウントの継承されたアクセス許可を使用して、コマンド プロンプトに無制限にアクセスできました。

攻撃者は、SonicWall アプリケーションの「 webui.json 」ログ ファイルを消去した後、被害者のネットワークに横方向に侵入する準備として、攻撃をクレデンシャル ハーベスティングにエスカレートしました。攻撃者は、独自のツールを環境に持ち込むのではなく、「土地から離れて生活する」手法に依存していました。これには、多くの場合、セキュリティ製品からの検出を潜在的に回避できるという利点があります.

攻撃者がreg saveコマンドを実行してHKLMSAMHKLMSYSTEM 、およびHKLMSECURITYレジストリ ハイブをダンプすることを確認しました。これらのレジストリ ハイブには、パスワード ハッシュと LSA シークレットを回復するための重要な情報が含まれています。さらに、攻撃者は組み込みのメモリ ダンプ技術を使用して、メモリ内の機密資格情報を取得しました。攻撃者は、図 9 に示すように、Windows DLL comsvcs.dllMiniDumpエクスポートを呼び出して、 lsass.exeのプロセス メモリと実行中の Apache Tomcat インスタンスの両方をダンプしていることが確認されました。

rundll32.exe C:windowssystem32comsvcs.dll, MiniDump <lsass PID> c:windowstempTS_LAS.dmp full

rundll32.exe C:windowssystem32comsvcs.dll MiniDump <Tomcat PID> C:windowstempTS_FF9DG.dmp full

図 9: lsass.exe (MITRE ATT&CK T1003.001) と Apache Tomcat のプロセス メモリを取得する攻撃者

Mandiant は通常、攻撃者が操作中に短くて入力しやすいファイル名を使用しているのを観察していますが、これは単純に効率化のためです。そのため、前述のファイル名は最初は独特であることが目立ちました。大文字と小文字が混在していると、必要以上に入力に手間がかかるためです。これは常にツールが使用されていることを示している可能性がありますが、DLL エクスポートの前にカンマがなく、2 番目のC:ドライブが大文字になっている 2 つのコマンドのわずかな違いは、それらが手動で入力されたことを示唆しています。通常、Windows ホストのC:WindowsTempディレクトリにも同様の名前の一時ファイルが多数含まれていることを考慮すると、セキュリティ アナリストの画面にアクティビティが到達した場合、攻撃者は疑惑を回避するために細心の注意を払っていた可能性があります。

敵対者は、可能な限り土地から離れて生活するための努力を続け、ホストに既に存在するアーカイブ ユーティリティ 7-Zip のコピーを見つけ、それを使用して<SonicWall ES インストール パス>dataarchiveのサブディレクトリを圧縮しました。このディレクトリには、SonicWall ES によって処理された電子メールの毎日のアーカイブが含まれており、攻撃者がこのアプリケーションに精通していることを示しています。

数日間活動が落ち着いた後、おそらくレジストリ ハイブからパスワードを回復し、以前にダンプされたプロセス メモリを処理した後、攻撃者はホストに戻ってきました。活動の時点で、被害者の組織はドメイン内の複数のホストで同じローカル管理者パスワードを使用していたため、攻撃者はこのアカウントのコンテキストの下で横方向に移動する簡単な機会を提供しました。ドメイン内の各ホストの Windows アカウント。

攻撃者は、Impacket の公開されているWMIEXEC.PYツールを利用して複数の内部ホストにアクセスし、Windows Management Instrumentation (WMI) を介して Microsoft の DCOM プロトコルを介してリモート コマンドを実行できるようにしました。敵対者は、孤立して環境から排除される前に、内部偵察活動を短時間実行することに成功しました。

帰属

Mandiant は現在、このアクティビティを UNC2682 として追跡しています。最終的に、Mandiant は UNC2682 が任務を完了するのを阻止したため、攻撃の目的は現在不明のままです。

Mandiant が実施する各調査には、Mandiant が対応する何千もの調査で観察された活動を関連付ける作業を行う Advanced Practices チームのアナリストが含まれます。場合によっては、侵入活動を既知のグループに直接帰属させるためのデータが入手できないことがあります。このような場合、監視したアクティビティを追跡するために新しい UNC グループを作成します。 UNC グループは、関連するサイバー侵入活動のクラスターであり、敵対者のインフラストラクチャ、ツール、トレード クラフトなどの観察可能なアーティファクトが含まれますが、APT や FIN などの分類を提供する準備がまだ整っていません。

Mandiant が UNC グループを使用する方法の詳細については、ブログ投稿を参照してください: DebUNCing Attribution: How Mandiant Tracks Uncategorized Threat Actors .

調査と監視のヒント

Mandiant は、侵害の潜在的な証拠について、次のエンドポイント テレメトリ インジケーターを監視することを推奨します。

  • SonicWall E メール セキュリティ装置のウェブ サーバ プロセス「tomcat」の子プロセス、特に cmd.exe
  • SonicWall Email Security をホストするサーバ上での Web シェルの作成または存在

Mandiant は、標準的な指標に加えて、SonicWall 関連の内部設定ファイルとログを確認して、以前の敵対行為の証拠を確認することを推奨しています。

悪意のある Web リクエストとその値の証拠は、次のログ ファイルで特定できる場合があります。

  1. Apache Tomcat のログ:
    • C:Program FilesSonicWallESApache Software FoundationTomcat 9.0logs
  2. SonicWall アプリケーションのログ:
    • C:Program FilesSonicWallESlogswebUIwebui.json

SonicWall の構成設定が不正に変更された証拠は、次のファイルで確認できます。

  1. 管理ユーザー アカウント ファイル:
    • C:Program FilesSonicWallESdatamulti_accounts.xml
  2. 次のディレクトリに作成されている可能性がある追加のユーザー アカウント ファイル:
    • C:Program FilesSonicWallESdataperhost
    • C:Program FilesSonicWallESdataperldap
    • C:Program FilesSonicWallESdataperou
  3. 次のディレクトリのいずれかのサブディレクトリにある、関連する zip ファイルをブランディングします。
    • C:Program FilesSonicWallESdatabranding

テクニックの検出

FireEye は、プラットフォーム全体でこのアクティビティを検出します。以下に、この敵対者に関連する SonicWall ES の悪用または悪用後の活動の指標を提供する特定の検出名を示します。

製品

サイン

FireEye エンドポイント セキュリティ

  • RUNDLL32.EXE COMSVCS.DLL プロセス ミニダンプ (方法論)
  • 疑わしいレジストリの輸出 (方法論)
  • Web サーバーの ECHO リダイレクト (方法論)
  • Web サーバー CMD.EXE タイプの偵察 (手法)

FireEye ネットワーク セキュリティ

ファイア・アイの電子メール・セキュリティ

FireEye 検出オンデマンド

FireEye マルウェア ファイル スキャン

FireEye マルウェア ファイル ストレージ スキャン

  • FE_PUP_エクスプロイト_Linux_ZipSlip_1
  • FE_Exploit_Win_ZipSlip_1
  • FE_Trojan_ZIP_Generic_1
  • FE_Webshell_JSP_BEHINDER_1
  • FEC_Webshell_JSP_BEHINDER_1
  • Webshell.JSP.BEHINDER
  • Webshell.JSP.BEHINDER.MVX

ファイアアイ・ヘリックス

  • 方法論 – LFI [ヌルバイト URI]
  • WMIEXEC ユーティリティ [引数]
  • WINDOWS METHODOLOGY [異常な Web サーバーの子プロセス]

さらに、SonicWall は侵入防御システム (IPS) シグネチャを SonicWall ファイアウォールに展開し、前述の脆弱性を悪用しようとする攻撃を検出してブロックします。以下のシグネチャは、有効なセキュリティ サブスクリプションを持つ SonicWall ファイアウォールに既に適用されています。

  • IPS シグネチャ: 15520 WEB-ATTACKS SonicWall 電子メール セキュリティ (CVE-2021-20022 脆弱性)
  • IPS シグネチャ: 1067 WEB-ATTACKS Web アプリケーション ディレクトリ トラバーサル攻撃 7
  • IPS シグネチャ: 15509 WEB-ATTACKS Web アプリケーション ディレクトリ トラバーサル攻撃 7 -c2

Mandiant のセキュリティ検証アクション

組織は、 Mandiant Security Validationで次のアクションを使用して、セキュリティ コントロールを検証できます。

VID

名前

A101-563

悪意のあるファイル転送 – BEHINDER、ダウンロード、亜種 #1

A101-566

Web シェル アクティビティ – BEHINDER、基本的なシェル インタラクション

A101-564

悪意のあるファイル転送 – Zip Slip、ダウンロード、EICAR バリアント

A101-565

フィッシング メール – 悪意のある添付ファイル、Zip Slip、一般的なテーマのルアー

脆弱性の開示

Mandiant は、脆弱性 CVE-2021-20021 および CVE-2021-20022 を 2021 年 3 月 26 日に SonicWall 製品セキュリティ インシデント対応チーム (PSIRT) に開示しました。脆弱性は 2021 年 3 月 29 日に認識および検証され、4 月 9 日に修正プログラムが利用可能になりました。 、2021年。このパッチは、2021 年 4 月 9 日に、影響を受ける SonicWall のお客様とパートナーに通知されました。

Mandiant は、脆弱性 CVE-2021-20023 を 2021 年 4 月 6 日に SonicWall PSIRT に開示しました。脆弱性は 2021 年 4 月 9 日に認識および検証され、4 月 19 日にパッチが利用可能になりました。

3 つの CVE を緩和するために、Mandiant と SonicWall は、E メール セキュリティをバージョン 10.0.9.6173 (Windows) または 10.0.9.6177 (ハードウェアおよび ESXi 仮想アプライアンス) にアップグレードすることを推奨しています。 SonicWall Hosted Email Security (HES) 製品を使用している組織は自動的に更新されており、これらの顧客に対応する必要はありません。

謝辞

SonicWall PSIRT、Charles Carmakal、Ben Fedore、Geoff Ackerman、Andrew Thompson。

参照: https://www.mandiant.com/resources/blog/zero-day-exploits-in-sonicwall-email-security-lead-to-compromise

Comments

タイトルとURLをコピーしました