セキュリティ研究者たちは、Akiraランサムウェアグループが約4年前に修正されたCiscoの脆弱性を悪用し、組織のシステムへの侵入口として使用している可能性があると考えています。セキュリティ会社TrueSecが最近行ったインシデント対応の8件のうち、少なくとも6件で、2020年5月に修正されたCVE-2020-3259に対して脆弱なバージョンを実行しているCiscoのAnyConnect SSL VPNが侵入口として特定されました。この脆弱性は、攻撃者がCisco Adaptive Security Appliance (ASA) およびCisco Firepower Threat Defense (FTD) ソフトウェアのWebサービスインターフェースを通じて、メモリ内にクリアテキストで保存されている秘密情報(ユーザー名やパスワードなど)を抽出できることを可能にします。
TrueSecによると、このCiscoの脆弱性に対する公開されたエクスプロイトコードは存在しないため、Akiraのようなサイバー犯罪者がこの脆弱性を悪用するには、どこかからそのエクスプロイトを購入するか、独自に開発する必要があるとのことです。これには、脆弱性の深い理解が必要です。Akiraは以前からCisco VPNをランサムウェア攻撃の初期アクセスベクトルとして標的にしていることで知られていますが、古い脆弱性の潜在的な悪用は新たな発見です。
TrueSecのHeresh Zaremand氏によると、過去のケース分析は、環境内でのネットワークログがほとんど存在しないために困難でしたが、最近のあるインシデントでは、NPSサーバーから6ヶ月分のradius認証ログを復元することに成功し、悪意のある行動のパターンが明らかになりました。これには、攻撃者が最近実際のアカウント保持者によって使用された正規の認証情報を使用して認証したこと、異なるアカウントが8つ侵害されたが、横方向の移動には2つしか使用されなかったこと、侵害されたアカウントが予測可能な命名規則に従わない独特のユーザー名を持ち、すべてがユニークなパスワードを使用していたことなどが含まれます。
組織に対しては、Cisco AnyConnectを実行している場合、デバイスがCVE-2020-3259の修正以降にアップグレードされた時期を遡って確認し、過去6ヶ月間に変更されていないAnyConnect SSL VPNのユーザー名とパスワードを侵害されたと見なすことが推奨されています。このような場合、組織は広範囲にわたるパスワードのリセットを実施し、デバイスの設定に含まれる他の秘密情報や事前共有キーも侵害されたと見なすべきです。また、攻撃後の組織へのアドバイスとして、多要素認証(MFA)の有効化と、まだ適用していない場合はパッチの適用が推奨されています。
CVE-2020-3259が公開された時点で既知の公開エクスプロイトは存在せず、今日に至るまでその状況は変わっていません。この脆弱性は2020年にロシアのセキュリティ研究機関Positive Technologiesによって発見されましたが、同機関は翌年に米国の制裁リストに追加されました。TrueSecのZaremand氏は、Akiraとロシアの情報機関との間に何らかの関連があると示唆しているわけではないものの、攻撃的なセキュリティ研究がサイバー犯罪者や国家によって利用されることがあると指摘しています。また、最近化粧品大手Lushへの攻撃を主張したAkiraが、2022年に解散したContiから派生したと広く信じられており、Conti自体がFSBとの関連があると考えられていたことも指摘しています。
【ニュース解説】
セキュリティ研究者たちが、Akiraランサムウェアグループが約4年前に修正されたCiscoの脆弱性を利用して、組織のシステムに侵入している可能性があると指摘しています。この脆弱性は、CiscoのAnyConnect SSL VPNを使用しているデバイスに影響を及ぼし、攻撃者がメモリ内のユーザー名やパスワードなどの秘密情報を抽出できるようにします。
この脆弱性(CVE-2020-3259)は2020年5月に修正されましたが、TrueSecの調査によると、最近のインシデント対応でこの脆弱性が悪用された可能性があることが示唆されています。公開されているエクスプロイトコードは存在しないため、Akiraグループはこの脆弱性を悪用するために、独自に開発するか、どこかから購入した可能性があります。
この問題の深刻さを示す一例として、TrueSecは最近のあるインシデントで6ヶ月分の認証ログを復元し、攻撃者が正規の認証情報を使用して侵入していることを示唆する証拠を発見しました。これは、攻撃者が組織内で横方向に移動し、さらなる損害を引き起こす可能性があることを意味します。
組織に対しては、CVE-2020-3259の修正後にデバイスがアップグレードされた時期を確認し、過去6ヶ月間に変更されていないAnyConnect SSL VPNのユーザー名とパスワードを侵害されたと見なすよう推奨されています。また、多要素認証(MFA)の有効化やパッチの適用が強く推奨されています。
この事件は、古い脆弱性がいかに長期間にわたって悪用され得るかを示しており、組織がセキュリティパッチの適用を怠ることのリスクを浮き彫りにしています。また、攻撃的なセキュリティ研究がサイバー犯罪者や国家に利用される可能性があることも示唆しており、サイバーセキュリティの複雑さと国際的な側面を強調しています。
このような攻撃は、組織のセキュリティ体制に深刻な影響を及ぼすだけでなく、個人情報の漏洩や業務の中断など、さまざまな二次的な影響を引き起こす可能性があります。そのため、セキュリティ対策の継続的な見直しと更新、従業員のセキュリティ意識の向上が重要です。
from Nearly 4-year-old Cisco vuln linked to recent Akira ransomware attacks.
