ファイアウォールが攻撃されると何が起こるのか Zyxelの事例を紹介

サイバー攻撃を防ぐための最初の防壁として長年利用されてきたのがファイアウォールだ。だが、ファイアウォール製品にも欠陥が含まれている場合があり、これを狙った攻撃が起きた。

[David Jones，Cybersecurity Dive]

　ファイアウォールはサイバー攻撃を防御するための設備として広く利用されており、ほぼ必須とも言える存在だ。

　だが、ファイアウォールにも脆弱（ぜいじゃく）性が含まれていることがあり、これを突く攻撃も存在する。

ファイアウォールが攻撃されると何が起こるのか

　ファイアウォールの脆弱性を利用されてしまうと、その後どのような不具合が生じるのだろうか。以下では、Zyxel Netoworksのファイアウォール製品を狙ったサイバー攻撃について紹介する。

　複数の政府当局とセキュリティ研究者が、Zyxel Networksのファイアウォールで見つかったディレクトリトラバーサルの脆弱性について警告した。攻撃者はランサムウェア「Helldown」を展開するためにこの脆弱性を積極的に悪用中だ。

　Zyxel Networksの脆弱性は「CVE-2024-11667」（注1）で、共通脆弱性評価システム（CVSS）のスコアは7.5だ。

　脆弱性が存在するのは同社が提供するファイアウォールのOS「ZLD」のファームウェアバージョン5.00から5.38におけるWeb管理インタフェースだ。この脆弱性を悪用することで、攻撃者は細工されたURLを利用してファイルをダウンロードまたはアップロード可能になる。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年12月3日（現地時間）に（注2）、この脆弱性を既知の脆弱性のカタログ（KEV：Known Exploited Vulnerabilities Catalog）に追加した。

ディレクトリトラバーサルの脆弱性とは

　ディレクトリトラバーサルの脆弱性は、Webアプリケーションにおける欠陥であり、攻撃者が本来アクセスが許可されていないファイルやディレクトリに不正にアクセスできる状態を指す。

　この脆弱性が存在すると、攻撃者が特定の文字列（例えば「../」）を入力することで、本来アクセスすることが想定されていたディレクトリ以外のディレクトリに移動して、機密情報や設定ファイルなどへのアクセスが可能になる。その結果、情報漏えいやデータの改ざん、削除、システムの不正操作などが起きる。

　この脆弱性を防ぐにはユーザーからの入力値を検証して、不正なパスを含むリクエストを拒否することが重要だ。他にもサーバに非公開の情報を置かない、またはアクセス権限を厳格に設定することで、攻撃のリスクを低減できる。（キーマンズネット編集部）

　サイバーセキュリティ事業を営むSekoia.ioのセキュリティ研究者による報告を受けて、Zyxel Networksはこの脆弱性を悪用の試みを確認したと伝えた（注3）。Zyxel Networksはユーザーに対し、ファームウェアを直ちに更新し、管理者パスワードを変更するよう強く促した。

ランサムウェアやActive Directoryと組み合わせた攻撃

　2024年11月下旬、ドイツ当局とZyxel Networksの関係者は（注4）、同社のファイアウォールの脆弱性がランサムウェア「Helldown」の展開に悪用されたという警告を発した。

　ドイツ当局は2024年12月4日に、「Cybersecurity Dive」に対し「Helldownは公開済みのランサムウェア『LockBit』を基にしており、さまざまなランサムウェアのバージョンの作成に利用されている」と述べた。

　ドイツのCERTの広報担当者によると、Helldownは2024年8月に初めて確認され、リークサイトで約32件の被害者を公開していたが、そのサイトは同年11月21日にアクセス不能になったという。

　Sekoia.ioによると、標的となった企業の大半は中堅・中小企業だったが（注5）、一部には大規模な組織も含まれていたという。被害者の多くは米国に所在していたようだ。

　Sekoia.ioの研究者は、Cybersecurity Diveに対し「一部の被害者はすでにサポートが終了したファイアウォールを使用していたものの、他の被害者はサポートが継続されているファームウェアが搭載された比較的新しいバージョンを使用していた」と述べた。

　サイバーセキュリティ事業を営むTruesecの研究者によると（注6）、攻撃者はZyxel Networksのファイアウォールにローカルアカウントを作成し、認証情報を抽出するために設計されたオープンソースのツール「Mimikatz」をダウンロードして標的企業の「Microsoft Active Directory」（AD）から認証情報を抜き出していたことが確認された。また、攻撃者はGitHubから高度なポートスキャナーもダウンロードしていたという。

　研究者によると、攻撃者はウイルス対策ソフトを無効化し、「TeamViewer」を展開するか、Windowsの既定のリモートデスクトッププロトコル（RDP）ツールを使用して標的企業のネットワーク内を移動していたという。

出典：CISA, German cyber authorities warn Zyxel firewalls facing active exploitation（Cybersecurity Dive）
注1：CVE-2024-11667 Detail（NIST）
注2：CISA Adds Three Known Exploited Vulnerabilities to Catalog（CISA）
注3：Zyxel security advisory: protecting against recent firewall threats（Zyxel Networks）
注4：Zyxel Firewalls zur Verbreitung von Ransomware missbraucht（BSI）
注5：Helldown Ransomware: an overview of this emerging threat（sekoia blog）
注6：Helldown Ransomware Group - A New Emerging Ransomware Threat（Trusec）