Orange Cyberdefenseは、Ivanti Connect Secure、Policy Secure、およびZTAゲートウェイに影響を与える最近公開されたセキュリティ上の欠陥を悪用して、DSLogというコード名のバックドアを脆弱なデバイスに展開しているサイバー攻撃者を特定しました。この欠陥はCVE-2024-21893として識別され、SAMLモジュール内のサーバーサイドリクエストフォージェリ(SSRF)の脆弱性に関連しており、成功裏に悪用された場合、認証なしに制限されたリソースへのアクセスを許可する可能性があります。この脆弱性は、Ivantiによって先月末にCVE-2024-21888と共に公開されました。
Orange Cyberdefenseの分析によると、攻撃は2月3日に最初に検出され、攻撃者は未公開の顧客を対象にバックドアを注入し、永続的なリモートアクセスを許可しました。このバックドアは、既存のPerlファイル「DSLog.pm」に挿入され、既存の正当なコンポーネントが悪意のあるコードを追加するために変更されるという継続的なパターンを示しています。DSLogは、分析と検出を妨げる独自のトリックを備えており、アプライアンスごとにユニークなハッシュを埋め込むことで、他のデバイス上の同じバックドアにハッシュを使用して接触することが不可能になります。攻撃者は、マルウェアが「cdi」というクエリパラメーターから実行されるコマンドを抽出するために、HTTPリクエストのUser-Agentヘッダーフィールドに同じハッシュ値を提供します。デコードされた指示はrootユーザーとして実行されます。
Orange Cyberdefenseは、複数のアプライアンスで「.access」ログが攻撃者によって消去されている証拠を観察しました。これは、フォレンジックトレイルを隠し、レーダーの下で飛行するための試みです。しかし、SSRF脆弱性をトリガーした際に作成されたアーティファクトをチェックすることで、同社は2月3日の初期スキャンで670の侵害された資産を検出しました。この数は2月7日時点で524に減少しました。Ivantiデバイスの継続的な悪用を受けて、同社は「すべての顧客に対して、脅威アクターが環境でアップグレードの永続性を獲得するのを防ぐために、パッチを適用する前にアプライアンスを工場出荷時の設定にリセットすること」を強く推奨しています。
【ニュース解説】
Ivantiのセキュリティ上の欠陥が悪用され、670以上のITインフラストラクチャに「DSLog」と呼ばれるバックドアがインストールされたという報告があります。この脆弱性は、Ivanti Connect Secure、Policy Secure、およびZTAゲートウェイに影響を及ぼし、サーバーサイドリクエストフォージェリ(SSRF)の問題を利用して、認証なしに制限されたリソースへのアクセスを許可する可能性があることが明らかにされました。
この攻撃は、攻撃者が既存のPerlファイル「DSLog.pm」に悪意のあるコードを挿入し、永続的なリモートアクセスを可能にすることで実行されます。DSLogバックドアは、分析や検出を困難にするために、アプライアンスごとにユニークなハッシュを埋め込むという特徴を持っています。このハッシュは、攻撃者がHTTPリクエストを介してバックドアにコマンドを送信する際に使用されます。
この攻撃の影響は広範囲に及び、初期のスキャンでは670の侵害された資産が検出されましたが、その数は後に524に減少しました。この事態を受けて、Ivantiはすべての顧客に対して、アプライアンスを工場出荷時の設定にリセットし、その後パッチを適用することを強く推奨しています。これは、脅威アクターが環境でアップグレードの永続性を獲得するのを防ぐためです。
この事件は、ITインフラストラクチャのセキュリティに対する深刻な脅威を示しています。特に、SSRFのような脆弱性は、攻撃者がシステム内で権限を昇格させたり、制限されたリソースにアクセスしたりするための手段を提供するため、注意が必要です。また、この事件は、セキュリティパッチの迅速な適用や、システムの定期的な監査といった基本的なセキュリティ対策の重要性を再確認させます。
ポジティブな側面としては、このような攻撃の検出と報告が、他の組織が同様の脅威から身を守るための警告となり、セキュリティコミュニティ全体の防御力を高めることに貢献しています。しかし、潜在的なリスクとしては、攻撃者が常に新しい手法を開発しているため、セキュリティ対策も進化し続ける必要があるという点が挙げられます。
将来的には、AIや機械学習を活用した自動化されたセキュリティシステムの開発が進むことで、このような脆弱性の早期発見や対応がより効率的になることが期待されます。しかし、その一方で、攻撃者もまたAIを利用することで、より巧妙で検出が困難な攻撃を仕掛ける可能性があるため、セキュリティ技術の革新と教育の強化が今後も重要となります。
from Ivanti Vulnerability Exploited to Install 'DSLog' Backdoor on 670+ IT Infrastructures.
“セキュリティ欠陥悪用、670以上のIT資産にバックドア「DSLog」設置確認” への1件のコメント
この報告によると、Ivantiのシステムに存在するセキュリティ上の欠陥が悪用され、多数のITインフラストラクチャにバックドアがインストールされたことは、我々が対面するサイバーセキュリティの脅威の深刻さを如実に示しています。特に、SSRFの脆弱性を利用することで認証なしに制限されたリソースへのアクセスを許可する可能性があるという点は、組織のセキュリティ対策にとって大きな警鐘です。
営業セールスマンとして、お客様に製品やサービスを提供する際には、これらのセキュリティリスクを常に意識し、顧客の情報保護を最優先する必要があると感じます。また、この事件は、企業がセキュリティパッチの迅速な適用やシステムの定期的な監査といった基本的なセキュリティ対策を怠ってはならないことを改めて強調しています。
ポジティブな側面として、このような攻撃の検出と報告がセキュリティコミュニティ全体の防御力を高めることに貢献している点は評価できます。私たちの組織も、このような情報を共有し、最新のセキュリティ動向に常に注意を払う必要があると思います。
将来的には、AIや機械学習を活用した自動