米国サイバーセキュリティ・インフラセキュリティ庁(CISA)によると、昨年、連邦機関が脆弱性の修正、インシデント対応、EDRログの確認の失敗により侵害されました。
CISAは9月23日に公開した「教訓」勧告の中で、攻撃者が2024年7月11日にパブリックに公開されたGeoServer上のCVE 2024-36401を悪用し、同機関のネットワークにアクセスしたと主張しました。
この重大なリモートコード実行(RCE)脆弱性は、7月15日にCISAの既知の悪用脆弱性(KEV)カタログに追加されました。
攻撃者はこの脆弱性を利用してオープンソースのツールやスクリプトをダウンロードし、同機関のネットワーク内に永続性を確立した後、同じ脆弱性を使って1週間以上後に2台目のGeoServerにアクセスしました。
「攻撃者はGeoServer 1からウェブサーバー、さらに構造化照会言語(SQL)サーバーへと横方向に移動しました」とCISAは説明しています。
「各サーバーで、China Chopperなどのウェブシェルや、リモートアクセス、永続化、コマンド実行、権限昇格用のスクリプトをアップロード(またはアップロードを試行)しました。サイバー脅威アクターは、Living off the Land(LOTL)技術も使用しました。」
米政府機関への侵害についてさらに読む:CISA、財務省の侵害は他機関に影響しなかったと主張
報告書によると、攻撃者は主にブルートフォース手法を使ってパスワードを取得し、横方向移動や権限昇格を行い、関連サービスを悪用してサービスアカウントにもアクセスしました。
得られた教訓
CISAは、連邦機関がいくつかの点で失敗したと主張しています:
- GeoServerの脆弱性を十分に迅速に修正しませんでした。KEVに追加されたのは最初の侵害から4日後でしたが、このCVEはベンダーによって11日前の6月30日に修正されていました。2台目のサーバーの悪用は7月24日に発生し、これはKEVのパッチ適用期間内でした。
- 機関はインシデント対応計画のテストを行わず、計画自体も迅速に第三者がリソースへアクセスできるようにはなっていませんでした。これがCISA自身の対応にも支障をきたしました。
- EDRアラートが継続的に確認されておらず、悪意のある活動が3週間にわたり検知されませんでした。7月15日のアラートがあれば、脅威を迅速に封じ込めることができたはずです。
- 機関はすべてのエンドポイントにEDRを適用していませんでした。例えばウェブサーバーには保護がありませんでした。
「CISAは、すべての組織が今回の教訓を考慮し、本勧告の緩和策セクションに記載された推奨事項を適用して、セキュリティ態勢を強化することを推奨します。」と同庁は述べています。
Exabeamのセキュリティオペレーションストラテジスト、ガブリエル・ヘンペル氏は、今回のインシデントは政府機関全体でパッチ適用プロセスが依然として最適化されていないことを浮き彫りにしたと指摘しています。
「『パッチ適用を迅速に』と言い続けていますが、本当に必要なのは自動化された強制措置です」と彼女は付け加えました。「重大なCVEがKEVに登録されている場合はパッチを当てるか、システムをネットワークから切り離すべきです。これらを放置することは、特に連邦機関の環境では、もはや許容されるリスク態勢ではありません。」
CISAは、今回の侵害の影響を受けた連邦民間行政機関の名称は明らかにしませんでした。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-federal-agency-geoserver/