Azure CLIを狙う大規模パスワードスプレー攻撃

サイバーセキュリティ企業のHuntressが、Azure CLIを標的とした大規模なパスワードスプレー攻撃によってMicrosoft 365環境が侵害されていると警告しています。

同社は6月12日から21日にかけて、顧客に対する8100万回を超えるログイン試行を確認しており、すでに64組織にまたがる78件のユーザーアカウントが侵害されています。

この2週間の間、攻撃者は1日あたり2~4件のアカウントを侵害しており、6月22日前後には23組織が一斉に侵害される急増も見られました。

Huntressによると、ログイン試行の大半はインターネットホスティングプロバイダーLSHIY LLCに紐づく自律システムAS32167から発信されているということです。

「これらの攻撃は、いくつかの異なるASNにまたがる大規模な認証情報スプレー攻撃の波の一部です。過去6か月間で、Huntressが観測した顧客基盤全体における認証情報スプレー攻撃の量は155倍以上に増加しています」と同社は述べています

Huntressは5月下旬から6月上旬にかけて、複数の企業でパスワードスプレー攻撃の急増を確認しました。同社によれば、これらの攻撃はすべて侵害済みのパスワードの組み合わせリストに基づいているとみられます。

今回のAzureを狙ったキャンペーンでは、攻撃者は認証情報の検証にOAuthのROPC(Resource Owner Password Credentials)フローを利用しています。OAuth 2.1では非推奨となっているこの認証フローは、正しい認証情報を受け取ると新たにユーザー委任トークンを発行する仕組みです。

つまり、多要素認証(MFA)が有効になっていても、そのMFAがOAuth ROPC認証フローをカバーするよう設定されていなければ、攻撃者はアカウントの侵害に成功してしまうということです。

「ROPCが問題視される理由はいくつかありますが、そのひとつはMFAやSSOといった最新の認証フローに対応していない点です。つまり、今回のキャンペーンで見られたように、ROPCはインタラクティブなMFAプロンプトを一切介さずに、パスワードを直接/tokenエンドポイントへ送信してしまうのです」とHuntressは説明しています。

侵害された事例の一部を分析したところ、HuntressはMFA設定に一定の弱点があることを発見しました。具体的には、すべてのクラウドアプリケーションに対してMFAが強制されていない、特定のユーザーグループのみに強制されている、信頼されていない場所からのアクセス時のみ要求される、あるいは実装はされているものの一度も強制が有効化されていない、といったケースです。

「今回のキャンペーンの影響を受けた企業のうち8社は、そもそもMFAポリシー自体が存在していなかった点にも注目する必要があります。今回、脅威アクターはMFAが設定されていたにもかかわらず侵入に成功しましたが、そこから導かれる教訓は『MFAはまったく効果がない』ということではありません。むしろ組織は、こうした一連のインシデントで悪用された認証フローに対応できるよう、MFAポリシーが適切に設定されているかを確認すべきです」と同社は指摘しています。

攻撃の発信元となったIPv6アドレス範囲は、香港、中国・武漢、そしてニューヨークに登録されているインターネットインフラプロバイダーLSHIYに属しています。同社が運用する2つのASN、AS32167とAS955に紐づくIPv6範囲が中国を発信元としているとの報告も、他に複数存在しています。

Huntressは、悪意ある活動について同社の不正利用報告の仕組みを通じてLSHIYに通報したものの、返答は得られなかったとしています。

翻訳元: https://www.securityweek.com/massive-password-spray-campaign-targeting-azure-cli/

ソース: securityweek.com