Cisco、Secure Emailのゼロデイエクスプロイトを確認

JarTee – shutterstock.com

Cisco Talosは最近、CiscoのSecure Email Gateway、Secure Email、およびWeb Manager向けAsyncOSソフトウェアを標的とするサイバーキャンペーンを発見した。このキャンペーンは少なくとも11月末以降続いているとみられる。ネットワーク大手の同社によれば、現時点ではパッチはまだ提供されていない。

リスクの範囲

Ciscoによると、この脆弱性はスパム隔離（Spam Quarantine）機能が有効になっているシステムに影響する。ただしセキュリティ専門家によれば、これによって企業のリスクが必ずしも低下するわけではない。

「この機能がデフォルトで有効になっていないとしても、この脆弱性は高いリスクとなり得ます」とサイバーセキュリティアナリストのSunil Varkeyは警告する。「影響を受ける機器は通常、ネットワーク内で特権的な位置に置かれています。」

さらに、この機能を本番環境で有効にしている企業がどれほどあるのかは不明だという。

「スパム隔離は、管理者が『False Positives』、つまり機器によってスパムと判定された正当なメールメッセージを確認し、解放できるようにするものです」とConfidisの創業者兼CEOであるKeith Prabhuは説明する。「今日のリモートサポートや24×7運用を考えると、多くの企業でこの機能が有効化されている可能性は十分にあります。」

HFS Researchのアソシエイト・プラクティス・リーダーであるAkshat Tyagiによれば、最大の問題は標的の性質にある。「ユーザーのノートPCや単体サーバーとは異なり、メールセキュリティシステムは、企業がメールトラフィックをフィルタリングし信頼する方法の中核に位置しています。つまり攻撃者は、脅威を受け入れるのではなく阻止するよう設計されたインフラの内部で活動することになります。」

Tyagiはさらにこう付け加える。「まだパッチがないという事実が、リスクをいっそう高めています。ベンダーが自力で対処するのではなく機器の再構築を推奨しているのは、単発のエクスプロイトではなく、永続化と支配が問題になっていることを示しています。」

Varkeyは、このエクスプロイトは必ずしもインターネットへの直接接続を必要とせず、内部ネットワークやVPN経由で到達可能なネットワークからも実行され得ると指摘する。企業に対し、影響を受ける管理ポートへのアクセスを一時的に遮断または制限することを推奨している。

再構築のヒントと運用上の妥協

Ciscoは、侵害が確認されたケースでは、現時点で機器の消去と再構築が必要だと説明した。

「セキュリティの観点から、これは確かに正しい判断です」とTyagiは述べる。「攻撃者がシステムの深部に潜伏している可能性がある場合、パッチ適用だけでは問題を解決できません。脅威が完全に排除されたことを確実にする唯一の方法は再インストールです。」

しかしVarkeyは、これには事業上のリスクが伴うため、多くの企業にとって現実的な選択肢ではない可能性があると指摘する。具体的には、ダウンタイム、設定ミス、侵害されたバックアップによる永続化の再導入の可能性などが挙げられる。

企業は、修復のスピードと事業継続の維持のバランスを取りつつ、リスクを抑えるために代替的な統制（補完的コントロール）に依存する必要がある。

「Cisco Secure Email Gateway、Cisco Secure Email、そしてWeb Managerは、メールインフラの重要な構成要素です」とPrabhuは強調する。「企業はダウンタイムを最小化しつつ、侵害の時間的な窓も縮小できるよう、この措置を計画する必要があります。それまでの間、ファイアウォールでポートをブロックするなど、他のセキュリティ対策を用いて攻撃面を限定することができます。」（jm）