Rob Wright、シニアニュースディレクター、Dark Reading
2025年9月25日
読了時間:4分
出典:Wavebreakmedia Ltd(Alamyストックフォト経由)
サイバーセキュリティ・インフラセキュリティ庁(CISA)は今週、攻撃者がオープンソースのGeoServerマッピングサーバーの重大な脆弱性を悪用し、昨年連邦機関に侵入したことを明らかにしました。
CISAは勧告の中で、ある大規模な匿名の連邦民間行政機関(FCEB)において、悪意のある活動が同機関のエンドポイント検知・対応(EDR)プラットフォームによって検知された後、インシデント対応を実施したと述べています。しかし、同機関の対応プレイブックは不十分であり、そのためCISAの調査が妨げられ、攻撃者がネットワーク内で自由に侵入を拡大することを許してしまいました。
「CISAは、サイバー脅威アクターがCVE-2024-36401をGeoServerで悪用し、EDRアラートの約3週間前に同機関を侵害していたことを発見しました」と勧告は述べています。「その3週間の間に、サイバー脅威アクターは同じ脆弱性を利用して2台目のGeoServerにも個別に初期アクセスを獲得し、さらに2台のサーバーへ横展開しました。」
GeoServerは、地図作成のために異なるソースから地理空間データを集約するために使用されます。その利用者には、気象の追跡、地理調査、環境データと航空宇宙や軍事活動の連携などを行うオープン地理空間コンソーシアムのメンバーが含まれます。このリモートコード実行(RCE)を可能にする重大な脆弱性は、昨年6月30日に最初に公開され、CVSSスコア9.8を獲得しました。CISAによると、脅威アクターは2024年7月11日、公開から2週間も経たないうちにFCEB機関のネットワークへの初期アクセスを得ました。
CISAは2024年7月15日、CVE-2024-36401を既知悪用脆弱性(KEV)カタログに追加しました。FCEB機関の侵害がCISAによるKEVカタログへの追加を促したかどうかは不明です。CISAの広報担当者はDark Readingに対し、「CISAはどの脆弱性をKEVカタログに追加するかを判断するために使用された特定の悪用活動を公表していません」と述べています。
連邦機関侵害の経緯
CISAの勧告によれば、攻撃者はBurp Suiteという有名なペネトレーションテストツールを使ってネットワークスキャンを行い、FCEB機関の脆弱なGeoServerインスタンスを発見しました。攻撃者は脆弱性公開直後にこれを悪用し、外部公開されたGeoServerインスタンスにアクセスを獲得、さらにオープンソースのスクリプトやツールをダウンロードし、Living-off-the-land(LoL)技術と組み合わせてネットワーク内を横移動しました。
2024年7月24日、攻撃者は再びCVE-2024-36401を悪用し、FCEB機関の2台目のGeoServerインスタンスにアクセスしました。脅威アクターは最初のGeoServerインスタンスからWebサーバーやSQLサーバーへと横展開し、広く使われているChina ChopperなどのWebシェルを設置しました。
China Chopperは、2021年のProxyLogon攻撃など、中国系脅威グループによる大規模キャンペーンで関連付けられていますが、こうしたグループ専用というわけではありません。
脅威アクターはFCEB機関ネットワーク内で永続化を確立した後、主にブルートフォース攻撃によってアカウントのパスワードを入手したとCISAは述べています。また、脅威アクターはCVE-2016-5195(「Dirty Cow」として知られるLinuxの脆弱性)を利用して権限昇格を試み、Stowawayという公開ネットワークプロキシツールをC2(コマンド&コントロール)通信に使用しました。
このバグは人気の標的となりました。2024年9月に公開されたブログ記事で、Fortinetの研究者はKEVカタログへの追加後、CVE-2024-36401を悪用する「複数のキャンペーン」を観測したと述べており、ボットネットや暗号通貨マイナーに関連する活動も含まれていました。Trend Microも同月、この脆弱性の悪用を「Earth Baxia」と呼ばれる中国系サイバースパイグループに関連付ける調査を発表しました。Trend Microの研究者は、Earth BaxiaがGeoServerの脆弱性を悪用し、台湾政府機関やフィリピン・日本の軍事組織のネットワークに侵入したことを観測しました。ただし、CISAは米国機関への攻撃を特定のグループには帰属させていません。
米国機関における顕著なサイバーセキュリティの不備
CISAは勧告の中で、FCEB機関の侵害から得られた教訓や、組織のセキュリティ体制に関する所見を共有していますが、その結果は芳しくありません。まず、CISAは、同機関がCVE-2024-36401をKEVカタログに追加された後も速やかに修正しなかったため、7月24日に脅威アクターが2台目のGeoServerインスタンスを侵害することを許したと指摘しました。
「2024年7月24日は、このCVEに対するKEV必須パッチ適用期間内でした」と勧告は述べています。「しかし、CISAはFCEB機関や重要インフラ組織に対し、脆弱性管理計画の一環としてKEVカタログの脆弱性に即時対応することを推奨します。」
CISAはまた、同機関のインシデント対応計画が適切にテストされておらず、第三者を迅速に関与させ、必要なリソースへのアクセスを提供する設計にもなっていなかったと指摘しました。具体的には、同機関はCISA職員に対し、SIEMへのリモートアクセスを付与できず、「これがCISAの迅速かつ効率的なインシデント対応を妨げました。」
さらに勧告は、FCEB機関がEDRアラートを継続的に確認しておらず、侵害されたWebサーバーを含む一部の外部公開リソースにはエンドポイント保護が全くなかったことも指摘しました。
「この活動は3週間にわたり検知されませんでした。同機関は2024年7月15日、EDRがStowawayツールを検出したGeoServer 1からのアラートを見逃したため、この活動を検知する機会を逸しました」と勧告は述べています。
得られた教訓として、CISAは組織に対し、悪用された脆弱性の優先順位付けと迅速なパッチ適用のプロセスを含む脆弱性管理計画の策定、インシデント対応計画の維持・更新・テスト、包括的かつ詳細なログ記録の実施を強く推奨しています。