シスコ製品がまた狙われた 必ずパッチを適用しよう

ネットワーク機器の脆弱性を狙ったサイバー攻撃が止まらない。Cisco Systems製品を利用している場合は提供されているパッチを適用しよう。

[David Jones，Cybersecurity Dive]

　ネットワーク機器の脆弱（ぜいじゃく）性を狙う攻撃が頻発している。Cisco Systems（以下、Cisco）の製品にも危険性が見つかった。

何度も狙われるCisco製品

　Ciscoのセキュリティインシデント対応チーム（PSIRT）によれば、特定の国家とつながりのある攻撃者が「ArcaneDoor」と呼ばれるスパイ活動中心のキャンペーンを進行中だ（注1）。この攻撃はどの程度危険なのだろうか。

　この攻撃が始まったのは2023年後半だ。Cisco製品以外にも他の企業のネットワーク周辺機器を標的にした攻撃だという。

　Ciscoの脅威情報機関Cisco Talosは（注2）、攻撃者を「UAT4356」と呼んでいる。Microsoftが「Storm-1849」と呼ぶグループと同じものだ。この攻撃者は、Ciscoの機器を使用している一部の顧客に対して悪質なバックドアを展開した。これらの顧客は、「Adaptive Security Appliance」ソフトウェアまたは「Cisco Firepower Threat Defense」ソフトウェアを実行していた。

　Ciscoは、共通脆弱性評価システムのスコアが8.6の「CVE-2024-20353」（注3）と、同じくスコアが6.0の「CVE-2024-20359」の脆弱性に対するパッチをリリースして（注4）、直ちにシステムをアップデートするよう顧客に呼び掛けた。

　Cisco Talosによると、研究者と同社の製品セキュリティチームは2024年初めに、顧客からCisco Adaptive Security Applianceに関連するセキュリティ問題についての懸念の表明と警告を受けたという。

　Cisco Talosによると、初期の調査により、不審な活動が世界中の政府ネットワークの顧客グループに見られた。調査により、攻撃者側のテストと開発を2023年7月までさかのぼることができ、2023年11月には攻撃者が管理するインフラの運用が始まったという。

　最初のアクセスポイントはまだ突き止められていないが、2つの悪意のあるソフトウェア（インプラント）を特定できた。1つ目は「Line Dancer」と呼ばれるメモリ常駐型のシェルコードインタープリタで、侵害されたデバイス上でコマンドを実行する目的で使われる。攻撃者は「Line Runner」と呼ばれる2つ目のバックドアを使用して、攻撃の持続性を維持していた。

　Cisco Talosのブログによると、侵害された場合にユーザー側で把握できる場合もある。ログが欠落したり、予期せぬ再起動が起きるといった挙動だ。

　ネットワークテレメトリーや対応に当たっているパートナーからの情報を受けて、Cisco Talosは、攻撃者はMicrosoftやその他の企業のネットワークデバイスを標的としている可能性があると付け加えた。

　Ciscoの広報担当者によると、顧客の懸念に対応した後、同社は合計3つの未知の脆弱性を特定したという。3つ目の脆弱性は「CVE-2024-20358」としてリストアップされており（注5）、中程度のリスクとされている。

　2024年4月24日、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は最初の2つのCVEをKnown Exploited Vulnerabilitiesカタログに追加した（注6）。カナダのサイバーセキュリティセンターは（注7）、英国、オーストラリアの当局と共同で、この脅威に関する勧告を発表した。

　この攻撃キャンペーンは、国家から支援を受けた脅威グループによるエッジデバイスに焦点を当てた一連の攻撃の最新版だ（注8）。一連の著名なキャンペーンでは、IvantiやCitrix Systemsなどの組織を利用する顧客が標的にされている。Volt Typhoonを含む他の国家に関連した攻撃者は（注9）、家庭や小規模オフィスのデバイスの弱点を悪用し、それらをbotネットに変えてきた。

　米国と日本の当局は以前、「BlackTech」と呼ばれる中国に関連した脅威グループについて警告を発した（注10）。このグループは、Ciscoやその他のルーターのファームウェアを悪用して、これらの国の企業に対して攻撃を仕掛けていた。

　サイバーセキュリティ事業を営むSecurity Scorecardの調査によると（注11）、Volt TyphoonによってCisco製の機器は2023年末から標的にされていた。

出典：Cisco devices again targeted by state-linked threat campaign（Cybersecurity Dive）
注1：Cisco Event Response: Attacks Against Cisco Firewall Platforms（Cisco Systems）
注2：ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices（Cisco Talos Blog）
注3：CVE-2024-20353 Detail（NIST）
注4：CVE-2024-20359 Detail（NIST）
注5：CVE-2024-20358 Detail（NIST）
注6：Cisco Releases Security Updates Addressing ArcaneDoor, Vulnerabilities in Cisco Firewall Platforms（CISA）
注7：We couldn’t find that Web page (Error 404)（Government of Canada）
注8：FBI-led operation disrupts botnet controlled by state-linked Forest Blizzard（Cybersecurity Dive）
注9：CISA, FBI confirm critical infrastructure intrusions by China-linked hackers（Cybersecurity Dive）
注10：Cisco routers abused by China-linked hackers against US, Japan companies（Cybersecurity Dive）
注11：Threat Intelligence Research: Volt Typhoon Compromises 30% of Cisco RV320/325 Devices in 37 Days（SecurityScorecard）