中国の国家主体とみられるハッカーが、Ciscoのメールアプライアンスに存在する未修正の欠陥を悪用し、継続的なアクセスを獲得するための進行中のキャンペーンを展開している可能性が高い。
メーカーの脅威インテリジェンス部門であるCisco Talosは水曜日、Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerに存在するゼロデイが、11月中旬以降ハッカーにより悪用されていると述べた。Talosは、他の中国の国家主体ハッキンググループとツールやインフラが重複している点などを根拠に、追跡している中国の脅威アクターUAT-9686による攻撃である可能性が中程度の確度で高いとしている。
このキャンペーンは、CVE-2025-20393として追跡されている不適切な入力検証の欠陥を悪用する。Ciscoは、12月10日にこの欠陥を把握したと述べ、現時点で攻撃に対抗する回避策は存在しないとしている。脆弱なデバイスのWeb管理コンソールがインターネットに公開されている場合、またはスパム隔離機能の設定により対応するソフトウェアポートが開放されている場合、Ciscoは顧客にとって最善策はデバイスをインターネットから切り離すことだとしている。
手遅れで、すでにハッカーが侵入している場合は、「現時点では、アプライアンスから脅威アクターの永続化メカニズムを根絶するための実行可能な選択肢は、アプライアンスを再構築することだけだ」と同社は述べた。
Talosの評価では、「標準外の構成」のアプライアンスのみが侵害されているという。
カリフォルニアに本拠を置く多国籍企業が製造するネットワークインフラは、通信事業者やその他の重要インフラ分野に対する中国による継続的なハッキングの波の中で中心的な役割を果たしてきた。同社は11月、自社製品のセキュリティ強化を約束した。これは、ハッキングキャンペーンで主役級の標的となった製品を持つ企業の列に加わるもので、そのリストにはテック大手Microsoftや企業向けVPNメーカーIvantiが含まれる(参照: Cisco、ネットワーク機器のさらなるセキュリティ強化を約束)。
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は水曜日、この欠陥を既知の悪用されている脆弱性(Known Exploited Vulnerabilities)カタログに追加した。
最大CVSSスコアが10のこの欠陥により、攻撃者は基盤となるオペレーティングシステム上でroot権限を取得できる。侵害後、ハッカーはAquaShell(カスタムPythonバックドア)やAquaTunnel(リバースSSHトンネル)など、複数のカスタムツールを展開する。さらに、ログ消去ユーティリティのAquaPurgeと、別のトンネリングツールであるchiselも展開する。
今回の攻撃は、中国系ハッカーがエッジデバイスへと軸足を移している最新の事例だ。エッジデバイスは再起動やパッチ適用が行われないまま数カ月稼働し続けることがあるため、ハッカーは長期間にわたり検知されずに被害者ネットワーク内に留まることができる(参照:国家系ハッカーの新たなフロンティア:ネットワークエッジデバイス)。
翻訳元: https://www.databreachtoday.com/chinese-hackers-targeting-cisco-email-gateways-a-30341
