米国国家安全保障局(NSA)がアドバイザリを公開し、ロシア対外情報庁(SVR)が実際にエクスプロイトしている複数の脆弱性について概説しています。このアドバイザリは、最近の SolarWinds サプライチェーン攻撃に対する SVR のグループの関与を公式に表明するものであり、その戦術、手法、手順の詳細が明らかにされています。
攻撃では、VPN ソリューション、コラボレーション ソフトウェア スイート、仮想化テクノロジーに影響を与える 5 件の脆弱性(CVE)がエクスプロイトされていました。いずれの脆弱性も、すでに修正プログラムが提供されています。影響を受けるソフトウェアをお使いの場合は、すぐにアップデートするようお勧めします。すでに多くのエクスプロイトが確認されている、Metasploit モジュールに関連する脆弱性も含まれています。さらに、SSL を使用するアプリケーションがエクスプロイトされる脆弱性もあります。これらの脆弱性のエクスプロイトを検出するには Cisco Secure Firewall と Snort で SSL 復号を有効にする必要があります。攻撃グループ Hafnium によるエクスプロイトから防御する方法についてはこちらの記事をご覧ください。
以降は、米国国家安全保障局が重大視している脆弱性の概要と、ユーザをエクスプロイトから保護する Snort ルールの説明です。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
CVE-2018-13379
CVE-2018-13379 は、Fortinet 社の FortOS のディレクトリトラバーサルの脆弱性であり、攻撃者がシステムファイルにアクセスしてダウンロードする可能性があります。その結果、攻撃者が VPN 資格情報を取得し、標的のネットワークに侵入するための最初の足がかりにする危険性があります。この脆弱性に対するパッチは公開されており、すぐに適用する必要があります。
カバレッジ
Snort SID:51370 〜 51372
CVE-2019-9670
CVE-2019-9670 は、Synacore 社の Zimbra Collaboration Suite のメールボックス コンポーネントに存在する XML 外部エンティティ インジェクション(XXE)の脆弱性です。攻撃者が資格情報にアクセスして、その後アクセス範囲を拡大したり、標的のネットワークに侵入する最初の足がかりにしたりする可能性があります。この脆弱性に対するパッチは公開されており、すぐに適用する必要があります。
カバレッジ
Snort SID:49898
CVE-2019-11510
CVE-2019-11510 は、Pulse Secure 社の Pulse Connect Secure で確認された、任意のファイルが漏洩する脆弱性です。この情報漏洩の脆弱性が、秘密キーやログイン情報などの機密情報にアクセスするために悪用される可能性があります。この脆弱性に対するパッチは公開されており、すぐに適用する必要があります。
カバレッジ
Snort SID: 51288、51289、51390
CVE-2019-19781
CVE-2019-19781 は、Citrix Application Delivery Controller と Gateway におけるディレクトリトラバーサルの脆弱性です。攻撃者が任意のコードを実行する可能性があります。この脆弱性に対するパッチは公開されており、すぐに適用する必要があります。
カバレッジ
Snort SID:52512、52513、52603、52620、52662
CVE-2020-4006
CVE-2020-4006 は、VMware Workspace One Access、Access Connector、Identity Manager、Identity Manager Connector におけるコマンドインジェクションの脆弱性です。この脆弱性においては、コンフィギュレータの管理者アカウントに対する有効な資格情報が必要であり、基盤となるオペレーティングシステム上で任意のコマンドが実行される可能性があります。この脆弱性に対するパッチは公開されており、すぐに適用する必要があります。
カバレッジ
Snort SID:57182 〜 57185
本稿は 2021 年 04 月 15 日に Talos Group のブログに投稿された「Threat Advisory: NSA SVR Advisory Coverage」の抄訳です。