Cisco、Secure Email製品に対するゼロデイ攻撃の悪用を確認

Ciscoは、中国と関連するハッキンググループが、同社のSecure Emailアプライアンスに存在するこれまで未知だった脆弱性を積極的に悪用して永続的なアクセスを獲得していると警告した。パッチが未提供のまま、影響を受けた組織は重要なセキュリティ基盤の再構築という混乱を伴う対応を検討せざるを得ない状況に追い込まれている。

Cisco Talosによれば、このキャンペーンは少なくとも11月下旬から活動しており、セキュリティ責任者にとっては、目に見えない侵害への懸念や、インシデント対応の取り組みが影響を受けたデバイスを超えてどこまで拡大する必要があるのかという点で不安が高まっている。

Ciscoによると、この脆弱性はAsyncOSを実行するCisco Secure Email Gateway、Cisco Secure Email、およびWeb Managerアプライアンスに影響するが、インターネットに公開された状態でSpam Quarantine機能が有効になっている構成に限られる。

同社は、現時点で利用可能なパッチはなく、侵害が確認されたケースでは、攻撃者の永続化メカニズムを完全に除去する唯一の方法は影響を受けたアプライアンスを再構築することだと述べた。

企業における露出とリスク範囲

Ciscoは、Spam Quarantine機能が有効になっていないシステムは影響を受けないとしているが、アナリストは、だからといって必ずしも企業リスクが低減するわけではないと指摘した。

「この機能はデフォルトでは有効ではないものの、影響を受けるアプライアンスは通常、特権的なネットワーク上の位置に置かれるため、この脆弱性は高リスクの問題であり続ける可能性があります」と、サイバーセキュリティアナリストのSunil Varkey氏は述べた。 

また、運用環境でこの機能を有効にしている企業がどれほどあるのかも不明だと、Confidisの創業者兼CEOであるKeith Prabhu氏は述べた。

「Spam Quarantineは、管理者が『誤検知』、つまりアプライアンスがスパムと判断した正当なメールメッセージを確認し、解放できるようにする仕組みです」とPrabhu氏は述べた。「今日のリモートサポートと24時間365日の運用では、この機能が多くの企業で有効化されている可能性は十分にあります。」

HFS Researchのアソシエイト・プラクティス・リーダーであるAkshat Tyagi氏は、より大きな懸念は標的の性質にあると述べた。ユーザーのノートPCや単体のサーバーとは異なり、メールセキュリティシステムは、組織がメールトラフィックをフィルタリングし信頼する方法の中心に位置している。つまり攻撃者は、脅威を受け入れるためではなく阻止するために設計されたインフラの内部で活動することになる。

「まだパッチがないという事実が、リスクをさらに高めています」とTyagi氏は述べた。「ベンダーのガイダンスが、その場でのクリーンアップではなくアプライアンスの再構築であるということは、これは一度きりのエクスプロイトではなく、永続化と支配に関する問題だということを示しています。」

Varkey氏は、悪用にはインターネットへの直接公開が不要な場合もあり、内部ネットワークやVPNで到達可能なネットワークからも起こり得ると付け加え、影響を受ける管理ポートへのアクセスを一時的に閉鎖または制限するよう組織に助言した。

再構築に関する指針と運用上のトレードオフ

Ciscoは、侵害が確認されたケースでは、現時点でアプライアンスの消去と再構築が必要だとしている。

「セキュリティの観点からは、確かに正しい判断です」とTyagi氏は述べた。「攻撃者がシステムの深部に入り込んでいるリスクがある場合、パッチ適用だけでは問題は解決しません。再構築こそが、脅威が完全に除去されたと確信できる唯一の方法です。」

しかしVarkey氏は、ダウンタイム、設定ミス、汚染されたバックアップによる永続化の再導入の可能性など、事業上のリスクをもたらすため、多くの組織にとってこれは現実的な選択肢ではないかもしれないと述べた。

企業は、露出を抑えるための代替的な統制に頼りつつ、修復のスピードと事業継続性のバランスを取る必要がある。「Cisco Secure Email Gateway、Cisco Secure Email、およびWeb Managerは、メール基盤の重要な構成要素です」とPrabhu氏は述べた。「組織はダウンタイムを最小化しつつ、同時に侵害の時間窓を短縮する形でこの作業を計画する必要があります。それまでの間、ファイアウォールでポートをブロックするなど、他のセキュリティ対策を用いて露出を抑えることができます。」