うなり声をあげるホッキョクグマ出典: volkova natalia / Shutterstock
FBIとCisco Talosは今週、それぞれの勧告の中で、ロシアの主要な国内情報機関に関連するハッカーが、パッチ未適用かつサポート終了となったCiscoネットワーク機器の7年前の脆弱性を悪用し、米国および海外の企業や重要インフラネットワークを標的にしていると警告しました。
過去1年間で、Ciscoが「Static Tundra」と呼ぶこの脅威アクターは、米国の重要インフラ分野の組織で使用されている数千台のネットワーク機器から設定ファイルを収集してきたと、FBIは述べています。一部の脆弱な機器では、攻撃者が設定を変更してネットワークへの不正アクセス権を取得。そのアクセスを利用してネットワーク内を探索し、特に産業システムで一般的に使用されるプロトコルやアプリケーションを調査しており、機密性の高い運用技術に焦点を当てていることが示されています。
継続中のキャンペーン
「この活動を行っているFSB第16センターは、サイバーセキュリティの専門家の間で『Berserk Bear』や『Dragonfly』など、複数の名称で知られており、これらは別個だが関連するサイバー活動クラスターを指します」とFBIの勧告は述べています。「この部隊は10年以上にわたり、特にSMIやSNMPバージョン1および2などのレガシーな暗号化されていないプロトコルを受け入れるネットワーク機器を中心に、世界中の機器を侵害してきました。」
Ciscoの勧告によると、Static Tundraは主に、世界中の製造、通信、高等教育分野でモスクワにとって戦略的に重要な組織を標的にしています。ロシアのウクライナ侵攻開始以降、このグループは他のロシア系グループ同様、同地域での攻撃も増加させています。「Static Tundraは、パッチ未適用やサポート終了となったネットワーク機器を標的にして主要ターゲットへのアクセスを確立し、関連する二次ターゲットへの作戦も支援します」とCisco TalosのSara McBroom氏とBrandon White氏は述べています。脆弱な機器に侵入した後、攻撃者はネットワーク内でさらに深く侵入し、追加の機器を侵害、場合によっては数年間発見されないまま活動できる仕組みを展開しています。
7年前の脆弱性の悪用
ハッカーが現在進行中のキャンペーンで悪用している、ほぼ最大レベルの深刻度を持つ脆弱性は、CVE-2018-0171(CVSSスコア:9.8)であり、現在は廃止されたCisco IOSおよびCisco IOS XEソフトウェアのSmart Install機能における不適切な入力検証の問題です。この脆弱性は、Ciscoが2018年3月に公開時にパッチを提供しましたが、認証されていないリモート攻撃者が、影響を受ける機器でサービス拒否(DoS)状態を引き起こしたり、任意のコードを実行したりできるようにします。
今年初め、Ciscoは中国の悪名高いSalt Typhoonグループが同じ脆弱性を通信分野の組織が所有するパッチ未適用のシステムで悪用していると警告しました。「他にも多くの国家支援型アクターが、これらの機器が提供するアクセスを狙っていることを、私たちは何度も警告してきました」とCiscoは述べています。「組織は、他の高度持続的脅威(APT)も同様の作戦を優先的に実施している可能性が高いことを認識すべきです。」
CVE-2018-0171は、Cisco IOSまたはIOS XEソフトウェアの脆弱なリリースを使用し、Smart Installクライアント機能が有効になっているCisco機器のみに影響します。「この勧告で説明されている脆弱性の影響を受けるのは、Smart Installクライントスイッチのみです。Smart Installディレクターとして構成されているCisco機器は影響を受けません」と同社は述べています。影響を受ける組織は、パッチを適用するか、Smart Install機能を無効化することで脅威を軽減できます。サポート終了でパッチが適用できない機器には追加の保護策が必要だと同社は指摘しています。
手強い敵
Static Tundra/Energetic Bearは、10年以上にわたり世界中の組織を積極的に標的にしてきたサイバースパイ活動グループです。2021年、米国政府はロシア国防省の研究所職員と共謀者3名を正式に起訴し、Dragonflyによる135カ国のエネルギー分野企業を標的としたTriton/Trisisキャンペーンへの関与を問いました。
2021年以降、この脅威アクターは主にCVE-2018-1071を悪用して影響を受けるCisco機器への侵入を図っています。Ciscoは、このグループが脆弱性未修正のシステムに対する攻撃を自動化し、設定情報を抽出するためのカスタムツールを使用している可能性が高いと結論付けています。
脅威アクターが関心のあるシステムへのアクセスを得ると、盗んだSNMP認証情報を使って侵害した機器を密かに制御し、コマンドの実行、設定変更、設定情報の窃取などを行いながら、セキュリティ制御から活動を隠します。Static Tundraはまた、侵害した機器の設定を変更して新たなローカルユーザーアカウントを作成したり、Telnetなどのリモートアクセスサービスを有効化したりして、初期接続を失った場合でも再度アクセスできる手段を確保します。
継続する脅威
Ciscoによると、Static Tundraはしばしば盗まれたSNMP認証情報やコミュニティストリングに依存して、侵害したシステムへの長期的なアクセスを維持しています。場合によっては、新たな特権ローカルアカウントを作成したり、追加のSNMP読み書きストリングを追加して制御を継続することもあります。また、このグループはSYNful Knockと呼ばれるCisco IOSファームウェアのバックドアを利用し、感染機器への接続を維持しています。このインプラントはCisco IOSオペレーティングシステムに挿入され、機器にロードされることで、再起動しても攻撃者の隠れた足場が残ります。
Bugcrowdのチーフストラテジー&トラストオフィサーであるTrey Ford氏は、CVE-2018-0171の深刻度や古さを考慮すると、いまだに一部の組織がパッチを適用していないことにやや驚きを示しました。「影響を受けるCVEはスコアの高いRCE(リモートコード実行)エクスプロイトです」と彼は指摘します。「製造業や通信、その他の重要インフラなど、一部の環境では計画的なパッチ適用サイクルによる生産遅延が発生するかもしれませんが、この種の脆弱性が7年も広範囲に悪用されるまで放置されているのは少し驚きです。」
Ford氏は、サポート終了機器がしばしば中核的なセキュリティ監視から外されることが、こうした結果を招く可能性があると述べています。「脆弱性管理(サービスレベル合意)は、企業の全攻撃対象領域に適用されるべきです」と彼は指摘。「このFBIの警告は、最新の資産管理と…パッチの適用状況や設定管理の継続的な監視の重要性を強調しています。」
進行中のキャンペーンは、2024年に脅威アクターが悪用した脆弱性の40%が2020年以前のものであり、10%は2016年以前に遡るという最近の脅威調査結果を裏付けるものだと、Qualysのセキュリティリサーチマネージャー、Mayuresh Dani氏は述べています。「悪用された脆弱性の中には1990年代にまで遡るものもあり、パッチ未適用のセキュリティ欠陥が驚くほど長寿命であることを示しています」と彼は言います。サポート終了機器はサポート対象外のため、セキュリティ更新が受けられず、新たに発見された脆弱性が恒久的に未対応のままとなります。これにより、脅威アクターが無期限に悪用できる持続的な攻撃経路が生まれます。Dani氏は、組織がネットワークインフラの資産管理を徹底し、サポート終了間近または終了済みの機器を特定することを推奨しています。また、EOL(サポート終了)機器の交換ロードマップを作成し、インターネットに面した機器や重要インフラ機器の脆弱性を優先的に対処し、レガシーなSMIプロトコルやSNMP v1/v2などの安全でないプロトコルの使用を無効化すべきだとしています。