出典:Kristoffer Tripplaar(Alamy Stock Photo経由)
今月、性質の大きく異なる2つの別個のキャンペーンにより、さまざまなCiscoのセキュリティ製品が攻撃を受けている。
水曜日、Ciscoは、中国に関連すると新たに特定された高度持続的脅威(APT)「UAT-9686」が、AsyncOSソフトウェア上で動作するCiscoのメールセキュリティアプライアンスにおけるゼロデイ脆弱性を悪用していたことを明らかにした。この脆弱性はCVE-2025-20393として追跡されており、共通脆弱性評価システム(CVSS)で「重大(critical)」の10点満点中10という深刻度評価が付与された。なお、現時点ではまだパッチは提供されていない。
Ciscoがその脆弱性と当該キャンペーンを発見した直後、別の、そして現時点で特定されていない攻撃者が、より派手で品のないブルートフォース攻撃の津波を、Ciscoのセキュアソケットレイヤー(SSL)仮想プライベートネットワーク(VPN)およびPalo Alto NetworksのGlobalProtect VPNに対して開始した。
中国に悪用された重大なCiscoゼロデイ
AsyncOSは、スパムやマルウェアなどから保護するCisco Secure Email Gatewayのオペレーティングシステム(OS)であり、複数のセキュリティアプライアンスを一括で管理・監視するための集中管理コンソールであるSecure Email and Web Managerでも使用されている。想像のとおり、Ciscoのメールセキュリティには、誤検知に備えてスパム判定されたメールを一定期間保管する「スパム隔離(Spam Quarantine)」機能が備わっている。
このCisco機器の脆弱性は、スパム隔離機能が設定されており、かつその機能がインターネットから到達可能な場合にのみ発生する。両条件が満たされると、攻撃者は通常のシステムロジックを破壊して、基盤となるAsyncOSでroot権限を取得できる。その後、アプライアンス自体、そして場合によっては接続されたシステムにも影響する任意のコマンドを実行できる。
実際にどのような事態になるかを想像する必要はない。少なくとも11月下旬以降、ある脅威アクターはすでにCVE-2025-20393をゼロデイとして悪用していた。Cisco TalosはこのグループをUAT-9686と命名し、そのツール、インフラ、戦術・技術・手順(TTP)がAPT41やUNC5174といった既知の中国系グループと重複していると指摘した。
UAT-9686はCVE-2025-20393を侵入口として、システムレベルのコマンドを実行し、脆弱なアプライアンスにさまざまなマルウェアを投下した。これには、オープンソースのトンネリングツール「Chisel」や、独自の「Aqua」ファミリーのマルウェアが含まれていた。
主要なペイロードであるAquaShellは、軽量なPython製バックドアだ。UAT-9686は、これをエンコードされたデータの塊として配布し、デコード後にシステム上の既存ファイルへ埋め込むことで隠蔽する。AquaShellは、ログ消去ツールのAquaPurge、およびOSSの「ReverseSSH」バックドアのGoベース亜種であるAquaTunnelと併せて展開される。AquaTunnelは攻撃者サーバーへのリバースのセキュアシェル(SSH)接続を作成し、ファイアウォール越しでもコマンド&コントロール(C2)が機能するようにする。
12月17日のセキュリティアドバイザリで、Ciscoは顧客に対し、脆弱性そのものに対する有効なパッチが現時点で存在しないため、スパム隔離を特定してオフラインにする方法を案内した。同社は声明でDark Readingに対し、「当該問題を積極的に調査しており、恒久的な修正策を開発している」と述べた。
CiscoおよびPalo AltoのVPNに対する攻撃の波
CiscoがUAT-9686によるキャンペーンを最初に発見した翌日、1万を超えるユニークなインターネットプロトコル(IP)アドレスの軍勢が、Palo AltoのGlobalProtect VPNを組織的に攻撃し始めた。16時間の間に、明らかに自動化された悪性キャンペーンが170万件を超える認証セッションを生成し、その大半は米国、メキシコ、そして奇妙なことにパキスタンの組織に集中していた。
翌日、同じキャンペーンはPalo AltoからCisco VPNへと標的を移した。GreyNoiseの研究者は、12月12日だけでCiscoのエンドポイントを攻撃するIPが6倍に増加したことを観測した。攻撃は単純で、標準的なSSL VPNログインフローをプログラムでなぞり、弱い、またはすでに侵害されている可能性の高い認証情報で保護されたVPNに対してブルートフォースを行った。そして、それは始まったときと同じくらい急速に終息した。
出典:GreyNoise
GreyNoise Intelligenceのコンテンツ責任者であるNoah Stoneは、このような短期間で高ボリュームのキャンペーンは「防御側が気づいて対応する前に、露出している、または保護が弱いシステムを迅速に棚卸しするために使われることが多い。素早く動くことで、認証情報がローテーションされたりアクセス制御が変更されたりするリスクも減り、攻撃者はインフラや戦術を切り替える前に有効な標的を効率的に特定できる」と説明している。
GreyNoiseは、組織に対してエッジデバイスを入念に監査し、強力なパスワードを強制し、多要素認証(MFA)を導入することを推奨している。しかし、何をすべきかを知っていることと、実際にそれを行うことは別問題だ。Stoneは「対策そのものは単純だが、VPNは業務上不可欠なシステムであり、運用の複雑さ、レガシーな設定、ユーザーへの影響を懸念する気持ちが、変更を遅らせがちだ」と認めている。
翻訳元: https://www.darkreading.com/endpoint-security/cisco-vpns-email-services-threat-campaigns
