米サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)によると、脆弱性の修正対応、インシデント対応、EDRログのレビューの不備により、昨年、ある連邦機関が侵害された。
CISAは9月23日に公開した「教訓(lessons learned)」アドバイザリで、脅威アクターが2024年7月11日、インターネットに公開されていたGeoServer上のCVE-2024-36401を悪用して当該機関のネットワークへアクセスしたと主張した。
この重大なリモートコード実行(RCE)バグは、CISAの既知の悪用されている脆弱性(KEV)カタログに7月15日に追加された。
攻撃者はこの脆弱性を利用してオープンソースのツールやスクリプトをダウンロードし、当該機関のネットワーク内で永続化を確立した。その後、1週間以上経ってから同じ欠陥を悪用して2台目のGeoServerにもアクセスした。
「彼らはGeoServer 1からWebサーバー、そしてStructured Query Language(SQL)サーバーへと横展開した」とCISAは説明した。
「各サーバー上で、China ChopperのようなWebシェルをアップロード(またはアップロードを試行)し、リモートアクセス、永続化、コマンド実行、権限昇格のために設計されたスクリプトも併せて投入した。サイバー脅威アクターは、Living off the land(LOTL)手法も使用した。」
米政府機関の侵害に関する関連記事: CISA、財務省の侵害は他機関に影響せずと主張。
報告書によれば、攻撃者は主にブルートフォース手法に依存して横展開および権限昇格のためのパスワードを入手し、さらに関連サービスを悪用してサービスアカウントにもアクセスしたという。
得られた教訓
CISAは、当該連邦機関が複数の点で不備があったと主張した:
- GeoServerの脆弱性の修正対応が十分に迅速ではなかった。初回侵害の4日後にKEVへ追加されたとはいえ、当該CVEはその11日前の6月30日にベンダーがパッチを提供していた。2台目サーバーの悪用は7月24日に発生しており、KEVのパッチ適用期限内だった
- 当該機関はインシデント対応計画をテストしておらず、計画自体も第三者が迅速に関与したりリソースへアクセスしたりできるようになっていなかった。これがCISA自身の対応活動を妨げた
- EDRアラートが継続的にレビューされておらず、その結果、悪意ある活動が3週間にわたり検知されなかった。7月15日のアラートがあれば、脅威を迅速に封じ込められたはずだった
- 当該機関はすべてのエンドポイントにEDRを適用していなかった。例えばWebサーバーには保護がなかった
「CISAは、すべての組織が得られた教訓を検討し、このアドバイザリの Mitigations セクションにある関連推奨事項を適用してセキュリティ態勢を改善することを推奨する」と、同庁は述べた。
Exabeamのセキュリティ運用ストラテジストであるGabrielle Hempel氏は、このインシデントは政府機関全体でパッチ適用プロセスが依然として最適化されていないことを浮き彫りにしていると主張した。
「『パッチ適用を急げ』と言い続けているのは承知しているが、本当に必要なのは自動化された強制だ」と彼女は付け加えた。「重大なCVEがKEVに入っているなら、パッチを適用するか、システムをネットワークから切り離すべきだ。これらを露出したままにすることは、どの組織にとっても、特に連邦の環境では、もはや許容できるリスク態勢であってはならない。」
CISAは、侵害の影響を受けた連邦文民行政機関(FCEB)を特定しなかった。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-federal-agency-geoserver/
