- Dellはハードコードされた認証情報が原因のRecoverPoint for Virtual Machinesの重大な脆弱性をパッチ
- 2024年半ばから中国の国家支援グループUNC6201によってゼロデイとして悪用されている
- 攻撃者は新しいGrimboltバックドアを配置し、ステルスと横展開のために新しい「ゴーストNIC」技術を使用
中国の国家支援脅威アクターがDell製品のかなり恥ずかしい脆弱性を約2年間悪用していると、専門家が主張しています。
セキュリティアドバイザリーで、DellはRecoverPoint for Virtual Machinesにハードコードされた認証情報の欠陥が含まれていると述べました。
RecoverPoint for Virtual Machines(RP4VM)は、仮想化環境向けに設計されたデータ保護とディザスタリカバリーソリューションで、主にVMware vSphereとMicrosoft Hyper-Vを対象としています。開発時に、開発者はコード内にログイン認証情報を残してしまいました。おそらく製品を素早くログインしてテストできるようにするためです。
限定的な積極的な悪用
通常、開発者は製品を出荷する前にコードを精査し、ハードコードされた認証情報のすべての痕跡を削除します。しかし、時々それらが忘れられたり、チェックされないままになったりして、サイバー犯罪者が悪用できる大きな穴が残されます。
現在、DellはバージョンR6.0.3.1 HF1より前のすべてのバージョンがハードコードされた認証情報を含んでいたと述べています。これは重大な脆弱性です。なぜなら「ハードコードされた認証情報の知識を持つ認証されていないリモート攻撃者がこの脆弱性を悪用し、基礎となるオペレーティングシステムへの不正アクセスとルートレベルの永続性をもたらす可能性があるため」です。
さらに悪いことに、GoogleとMandiantのセキュリティ研究者はDellに脆弱性の「限定的な積極的な悪用」を警告しました。2つの企業は、バグが2024年半ばからゼロデイとして悪用されていたと言っており、つまり彼らは1年以上それを使用していたことを意味しています。
このバグを悪用しているグループはUNC6201として追跡されています。これはAPT41やSilk Typhoonのような広く認識されているグループではありませんが、同様に危険です。実際のところ、研究者はこのグループが複数のマルウェアペイロードを配置したと述べており、Grimboltという名前の全く新しいバックドアを含んでいます。これはC#で構築され、以前のツールよりも高速で逆エンジニアリングが難しい新しいコンパイル技術を使用しています。
研究者はまた、UNC6201が横展開とステルスのための新しい技術を使用したと述べました。
「UNC6201は一時的な仮想ネットワークポート(別称「ゴーストNIC」)を使用して、侵害されたVMから内部またはSaaS環境にピボットします。これはMandiantが彼らの調査で以前観察したことのない新しい技術です」とMandiantはBleepingComputerに語りました。「以前のBRICKSTORM キャンペーンと一致して、UNC6201は通常、長期間検出されないままでいるために従来のエンドポイント検出と応答(EDR)エージェントを欠いているアプライアンスを標的にし続けています。」
