btzgrp
  • インテルとネグロポンテのエゴチェックの時が来た - TechRepublic
Headlines

脅威アクターAPT28が古い脆弱性を持つCiscoルーターを標的に

05 mins
脅威アクターAPT28が古い脆弱性を持つCiscoルーターを標的に
ノートパソコンでプログラミング関数を書く。新技術革命。ソースコードのクローズアップ。ビッグデータとIoTのトレンド。コーディングハッカーのコンセプト。テキストエディタでJavaScriptコードを書く。
画像: maciek905/Adobe Stock

脅威アクターAPT28は、Simple Network Management Protocol(SNMP)バージョン1、2c、3を使用するCiscoルーターの古い脆弱性を悪用し、米国、欧州、ウクライナを標的にしています。このセキュリティ脅威の詳細は、英国国家サイバーセキュリティセンター、国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ庁(CIISA)、連邦捜査局(FBI)が最近発表した共同アドバイザリに記載されています。

ジャンプ先:

  • APT28 はどのようにして Cisco ルーターにアクセスしているのでしょうか?
  • APT28 とは何ですか?
  • APT28 は誰をターゲットにしているのか?
  • Ciscoルーターの脆弱性を軽減する方法

APT28 はどのようにして Cisco ルーターにアクセスしているのでしょうか?

このアドバイザリによると、2021年にAPT28がマルウェアを用いて、シスコが2017年6月29日に報告し修正プログラムを適用したSNMP脆弱性(CVE-2017-6742)を悪用した。この脆弱性を悪用するには、攻撃者はルーターのSNMPコミュニティ文字列(ルーターのデータへのアクセスを許可するパスワードのようなもの)を知る必要があった。

NCSCは共同勧告に加え、「Jaguar Tooth」と題するマルウェア分析レポートを公開しました。このレポートでは、APT28がSNMP脆弱性を利用して展開したマルウェアの詳細が示されています。この脆弱性を悪用すると、標的のCiscoインターネットワーキングオペレーティングシステム(IOS)ルーターのメモリにJaguar Toothコードが書き込まれ、その後実行されます。

NCSCによると、Jaguar Toothは、認証されていないバックドアアクセスを提供するペイロードとパッチで構成されており、攻撃者は既存のローカルアカウントにログインできます。また、Service Policy Lockと呼ばれる新しいプロセスを作成し、自動的に情報を収集し、Trivial File Transfer Protocol(TFTP)を介して情報を盗み出します。収集される情報には、デバイスの詳細、実行中の構成、ファームウェアバージョン、ディレクトリリスト、そしてアドレス解決プロトコルテーブル、インターフェース、その他の接続ルーターなどのネットワーク情報が含まれます(図A)。

図A

Cisco IOSコマンド
脅威アクターがJaguar Toothマルウェア経由で実行したCisco IOSコマンド。画像:NCSC

APT28 とは何ですか?

APT28は2004年から活動している脅威アクターであり、Sofacy、Fancy Bear、Pawn Storm、Sednit、Tsar Team、Strontiumといった別名でも活動しています。APT28は、ロシア連邦軍情報局(旧GRU)の軍事部隊26165とされています。米国司法省のプレスリリースによると、APT28のメンバーの一部は2018年に「国際的なハッキングおよび関連する影響力行使・偽情報工作」の罪で起訴されています。

このグループは、ミューラー特別検察官の捜査において、「米国を含むロシア国外の軍事、政治、政府、非政府組織を標的とするサイバー部隊」と説明されている。また、APT28には、マルウェア開発部門や大規模なスピアフィッシング攻撃を実施する部門など、様々な専門分野を持つ部門が存在する。

APT28 がこの脆弱性を狙ったのは誰ですか?

報告によると、APT28はヨーロッパのシスコ製ルーター、米国政府機関、およびウクライナの被害者約250人を標的とした。

一部の企業では、パッチが適用されていない、あるいはサポート終了となったCiscoルーターを依然として使用している可能性が非常に高いと考えられます。このようなバージョンのCiscoルーターは、このエクスプロイトに対して脆弱です。

Ciscoルーターの脆弱性を軽減する方法

Cisco Talos は、世界中のネットワーク インフラストラクチャを標的とした国家主導の攻撃に関するブログ投稿で、CVE-2017-6742 を悪用するには攻撃者がコミュニティ文字列を知っている必要があるため、慎重に選択された SNMP コミュニティ文字列によってこの攻撃がブロックされることを人々に思い出させています。

シスコシステムズ傘下のサイバーセキュリティ企業Talosは、SNMP v3を使用しない場合、適切に選択された文字列であっても平文で送信され、脅威アクターに傍受される可能性があると警告しています。SNMPの旧バージョンv1およびv2cには適切な暗号化と認証がないため、v3はSSHおよびHTTPSプロトコルに依存しています。したがって、SNMP v3を導入し、すべての監視および設定トラフィックを暗号化し、複雑なコミュニティ文字列を選択することを強くお勧めします。

その他のセキュリティ防止手順も推奨されます。

  • ルーターのデフォルトの資格情報を、管理者のみが知っている一意かつ強力なものに変更します。
  • 会社でルーターのリモート管理が必要ない場合は、攻撃対象領域を減らすために SNMP を無効にします。
  • 最新の(サポート終了したものではない)ハードウェアとソフトウェアを使用し、ルーターを最新の状態にしてパッチを適用しておきます。
  • ルーターの構成または動作の変更は、TACACS+ および Syslog プロトコルに基づくツールによって監視する必要があります。
  • ロールベースのアクセス制御を用いた強力なポリシーを実装します。許可された担当者のみがこれらのデバイスの管理や設定にアクセスできる必要があります。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged:

Related News