- 公開日
ハッカーが 2 つのゼロデイ経由で Cisco ASA デバイスをバックドア化
- 著者
- 名前
- AbnAsia.org
- @steven_n_t
"国家支援による攻撃者が、世界中の政府ネットワークで使用されている Cisco 適応型セキュリティ アプライアンス (ASA) を侵害し、2 つのゼロデイ脆弱性 (CVE-2024-20353、CVE-2024-20359) を利用してバックドアをインストールすることに成功しました。 Cisco Talos の研究者らが水曜日に共有した。
CVE-2024-20353 CVE-2024-20359
シスコの顧客によって観察された最初の確認されたアクティビティは 2024 年 1 月初旬に遡りますが、実際の攻撃は 2023 年 11 月に始まりました。「さらに、この機能が 2023 年 7 月にはテストおよび開発されていたことを示す証拠を特定しました」と研究者らは付け加えました。
カスタムマルウェア
ArcaneDoor と呼ばれるこのキャンペーンの最初のアクセス ベクトルはまだ不明です。
Cisco Talos は UAT4356、Microsoft は STORM-1849 として追跡しているこの攻撃者は、カスタム マルウェアを使用しました。
Line Dancer はメモリ内にのみ常駐するシェルコード インタプリタで、任意のシェルコード ペイロードをアップロードして実行します。
「侵害された ASA 上で、攻撃者はホスト スキャン応答フィールドを介してシェルコードを送信し、それがライン ダンサー インプラントによって解析されます。ホスト スキャン応答フィールドは、通常、SSL VPN セッション確立プロセスの後半で使用され、SSL VPN、「クライアント サービス」または HTTPS 管理アクセスを備えた IPsec IKEv2 VPN 用に設定された ASA デバイスによって処理されます」と研究者は説明しました。
「攻撃者は、デフォルトのホスト スキャン応答コードへのポインターをオーバーライドして、代わりにライン ダンサー シェルコード インタープリターを指すようにします。これにより、攻撃者は認証を必要とせずに POST リクエストを使用してデバイスと対話し、従来の管理インターフェイスを通じて直接対話できるようになります。」
ライン ダンサーは、syslog (ロギング プロトコル) の無効化、show コンフィギュレーションとパケット キャプチャ コマンドの抽出、CLI コマンドの実行、クラッシュ時のクラッシュ ダンプの作成をデバイスに強制する (フォレンジック分析を妨げる)、および次の方法を作成するために使用されています。常にデバイスにリモート接続できるようになります。
Line Runner は、レガシー ASA 機能に関連する機能を利用して、特定の LUA ファイルを検索、解凍、実行、削除します。これに含まれるスクリプトにより、攻撃者は、再起動やアップグレードにもかかわらず存続する HTTP ベースの Lua バックドアをデバイス上に維持することができました。
パッチを適用し、調査し、対応する
シスコは、CVE-2024-20353 および CVE-2024-20359 のパッチをリリースし、侵害の兆候、Snort シグネチャを提供し、ASA デバイス上の Line Runner バックドアを特定するためのいくつかの方法の概要を説明しました。
この 2 つの脆弱性に対処できる回避策はないため、Cisco ASA を使用している組織はできるだけ早くパッチを実装することをお勧めします。
「お客様には、文書化されていない構成変更、予定外の再起動、および異常な認証情報アクティビティの兆候がないか、システム ログを監視することも強くお勧めします。」と Cisco はアドバイスしています。
シスコは、Cisco ASA に影響を与える 3 番目の脆弱性(CVE-2024-20358)に対するパッチもリリースしましたが、これらの攻撃者には悪用されていません。
標的型攻撃
シスコの研究者は、いくつかの企業(Microsoft、Lumen Technologies)および米国、カナダ、オーストラリア、英国の政府サイバーセキュリティ機関の協力を得て、これらの攻撃の分析に取り組みました。
「この攻撃者は、スパイ活動に明確に焦点を当てていることと、標的となったデバイスに関する深い知識を示す特注のツールを利用していました。これは、洗練された国家支援攻撃者の特徴です」と研究者らは指摘しました。
採用された高度なフォレンジック対策、ゼロデイの使用、および特定のターゲットへの焦点は、その結論を強化するだけでした。
ArcaneDoor は、VPN やファイアウォールなどの「エッジ」ネットワーキング デバイスの侵害を目的とした一連のキャンペーンの最新のものであり、そのほとんどは中国国家支援のハッカーによるものと考えられています。
「さらに、ネットワーク テレメトリとインテリジェンス パートナーからの情報は、攻撃者が Microsoft やその他のベンダーのネットワーク デバイスに興味を持っており、潜在的に攻撃していることを示しています。ネットワーク機器プロバイダーに関係なく、今こそデバイスに適切なパッチが適用されていること、中央の安全な場所にログが記録されていること、強力な多要素認証(MFA)が設定されていることを確認する時期です」と Cisco Talos は警告しています。
「これらのデバイスに足場を築くことで、攻撃者は組織に直接侵入し、トラフィックのルーティングや変更を行い、ネットワーク通信を監視することが可能になります。」
更新 (2024 年 4 月 25 日、午前 6 時 10 分 (東部標準時)):
最近発表された Coalition 2024 サイバー保険金請求レポートによると、インターネットに公開された Cisco ASA デバイスを使用する企業は、2023 年にサイバー保険金請求を受ける可能性がほぼ 5 倍になっています。"
日本語版は Ai 支援を使用しているため、小さな間違いが存在する可能性があることをご了承ください。 
著者
Ai Base Network (ABN), ABN ASIAは、アカデミアに深く関わり、アメリカ、オランダ、ハンガリー、日本、韓国、シンガポール、ベトナムでの仕事経験を持つ人々によって設立されました。ABN ASIAは、学問とテクノロジーが機会と出会う場所です。最先端のソリューションと優れたソフトウェア開発サービスにより、ビジネスがレベルアップし、グローバルシーンに挑戦できるよう支援しています。 私たちの取り組み: より速く。 より良い。 より信頼性が高くなります。 ほとんどの場合、価格も安くなります。
いつでも、ITサービス、デジタルコンサルティング、既製のソフトウェアソリューション、または提案依頼書(RFP)をお探しの際は、お気軽にお問い合わせください。お問い合わせ先は[email protected]です。お客様のテクノロジーに関するニーズにお応えします。
© ABN ASIA