同社は顧客に対し、影響を受ける製品を直ちに再設定するよう促した。
中国関連のハッカーが、設定不備のあるCiscoのセキュリティ製品を利用して、少なくともここ数週間にわたり標的ネットワークにバックドアを展開している。
CiscoがUAT-9686として追跡しているこのハッカー集団は、同社のメールおよびWebセキュリティ機器と仮想プラットフォームを支えるCiscoのAsyncOSソフトウェアにおける安全でない設定を悪用していると、Ciscoはブログ投稿およびセキュリティ勧告で述べた。
AsyncOSでは、スパム隔離(Spam Quarantine)機能を有効化し、インターネット経由でアクセス可能にすることができる。この設定はデフォルトではないが、手動で変更したユーザーは、機器を侵入にさらすリスクがある。
「この攻撃により、脅威アクターは影響を受けるアプライアンスの基盤となるオペレーティングシステム上で、root権限で任意のコマンドを実行できる」とCiscoは述べた。
被害者ネットワークへの侵入後、中国関連のハッカーはAquaShellと呼ばれるPython製バックドアを設置し、攻撃者のコマンドを待ち受けて実行する。Ciscoはまた、このキャンペーンで使用された他のツールも特定しており、ハッカーが被害者マシンへの接続を維持するために用いる2つのトンネリングツールや、AquaPurgeと名付けられたログ消去ツール(ハッカーの活動の痕跡を消すもの)などが含まれる。
Ciscoによれば、このキャンペーンは「少なくとも11月下旬から継続している」とされ、同社がそれを発見したのは12月10日だった。
同社は、この作戦をUAT-9686によるものと判断した根拠として、ハッカーが他の著名な中国関連グループの攻撃でも見られたツールを使用している点を挙げた。さらにCiscoは、「AquaShellのようなカスタムメイドのWebベースのインプラントを用いる戦術は、高度に洗練された中国系のAPTによって採用が増えている」と述べた。
翻訳元: https://www.cybersecuritydive.com/news/cisco-china-cyberattacks-asyncos-configuration/808258/
