Google、ハッカーがSonicWallのハードウェアを悪用する方法を明らかに

Googleの脅威インテリジェンスグループによると、金銭目的の脅威アクターが、OVERSTEPと呼ばれるカスタムバックドアを使用してSonicWall Secure Mobile Access 100シリーズアプライアンスを悪用しているという。この攻撃キャンペーンは少なくとも2024年10月から活発化しており、パッチ適用済みだがサポート終了となったデバイスを標的としている。

システムに侵入すると、ハッカーは管理者のログイン認証情報にアクセスしたり、会社の機密データを盗んだり、組織のリーダーを脅迫したりすることができます。

「Google Threat Intelligence Group (GTIG) は、UNC6148 として追跡している金銭目的の脅威の疑いのある攻撃者による進行中のキャンペーンを特定しました。この攻撃は、パッチが完全に適用され、サポートが終了した SonicWall Secure Mobile Access (SMA) 100 シリーズ アプライアンスを標的としています。」これは、Josh Goddard、Zander Work、Dimiter Andonov が執筆した Google Cloud の投稿より。

エクスプロイトの理解

攻撃は、脅威アクターが標的のSonicWall SMA 100アプライアンスの有効な管理者認証情報を取得することから始まります。認証情報の取得方法は不明ですが、GTIGは最新のファームウェアアップデート（10.2.1.15.81sv）より前に取得されたのではないかと推測しています。

GTIGは、ハッカーがアプライアンスの既知の脆弱性（メモリ破損、認証されていないパストラバーサル、リモートコード実行、認証されたファイル削除など）を1つ以上悪用したと考えています。ただし、GTIGは未公開の脆弱性が悪用された可能性も否定していません。

アクセス権を取得した後、ハッカーは、デバイスが通常はシェル アクセスを許可していないにもかかわらず、Secure Sockets Layer 仮想プライベート ネットワーク (SSL VPN) セッションを使用して対象のアプライアンスに接続し、リバース シェルを確立します。

この足場により、脅威の攻撃者は一連のコマンドを実行して OVERSTEP バックドアを展開することができ、再起動時に OVERSTEP が自動的にリロードされるようにシステムを構成することで長期的な持続性を確保できます。

バックドアの検出と脅威の軽減

GTIGは、SonicWall SMA 100アプライアンスが侵入されたかどうかを管理者が特定できるよう、侵入の兆候（IOC）リストを公開しました。これには、デバイスのファイルシステム内で見つかる以下のような兆候が含まれます。

• 特に '/cf' または '/usr/lib' ディレクトリ内に、不明または予期しないバイナリが存在します。
• 標準の SMA アプライアンスには存在しない特定のファイル「/etc/ld.so.preload」を検出しました。
• 許可されていない、または悪意のある変更により、制御 (RC) スクリプト (特に '/etc/rc.d/rc.fwboot') が実行されます。
• 特に INITRD イメージで見られる場合の、不正確または不規則なタイムスタンプに関する問題。

その他のIOCは、アプライアンスのネットワークログを調べることによってのみ発見されます。これには以下が含まれます。

• クエリにコマンド「dobackshell」または「dopasswords」が含まれる受信 Web 要求。
• 未知の外部 IP アドレスへの送信 HTTP トラフィック。
• 見慣れない外部 IP アドレスからの VPN セッション。
• スケジュールされたメンテナンス時間外に設定がインポートまたはエクスポートされます。
• 定期メンテナンス外ではログが手動でクリアされます。
• 「FLASH.DAT」ファイル内またはアプライアンス内の他の場所にある、その他の脅威を含む疑わしいアクティビティ。
• アプライアンスとネットワーク内の他のシステム間の予期しない横方向の移動。

これらの脅威のいずれかが検出された場合、GTIGはすべてのユーザーパスワードとOPTバインディングをリセットし、SMAデバイス内に保存されている秘密鍵を含むすべての証明書を失効させることを推奨します。脅威が完全に軽減された後、正当な証明書はいつでも再発行できます。

Google 関連のサイバーセキュリティに関するその他のニュースでは、サンドボックス脱出攻撃を回避するために Chrome ユーザーに直ちにアップデートするよう勧告されています。