Ciscoは、その Secure Firewall Management Center(FMC)ソフトウェアの脆弱性を報告しました。この脆弱性により、攻撃者がリモートでコードを実行し、影響を受けるシステムを完全に制御できる可能性があります。
この欠陥はユーザーの操作や認証を必要としません。
「攻撃者は、細工されたシリアル化されたJavaオブジェクトを影響を受けたデバイスのウェブベース管理インターフェイスに送信することで、この脆弱性を悪用できる可能性があります。悪用に成功すると、攻撃者はデバイス上で任意のコードを実行し、権限をルートに昇格させることができます」と、Ciscoは勧告で述べています。
Ciscoファイアウォール管理の脆弱性の内部
この脆弱性は、Cisco Secure Firewall Management Center(FMC)およびCisco Security Cloud Control(SCC)に影響します。これらはエンタープライズプラットフォームであり、ファイアウォールポリシーを一元管理し、ネットワークアクティビティを監視し、大規模環境全体のセキュリティ構成を制御するために使用されます。
この欠陥はシステム構成に関係なく存在するため、組織は構成の変更または一時的な緩和によってリスクを軽減することはできません。
Ciscoの公式ソフトウェアアップデートを適用することが、現在のところこの問題を完全に修復する唯一の効果的な方法です。
ファイアウォール管理プラットフォームは組織のネットワーク防御アーキテクチャの中心に位置するため、この脆弱性は特に懸念されます。
これらのシステムは、ファイアウォールルールを構成し、セキュリティポリシーを実施し、分散環境全体のネットワークトラフィックを監視するための制御プレーンとして機能します。
侵害された場合、攻撃者はファイアウォールポリシーを変更し、保護を無効にするか、ログおよび監視メカニズムを操作できる可能性があります。
これにより、悪意のあるトラフィックが検出されずにネットワークを通過し、セキュリティ制御を弱体化させ、内部システムの更なる侵害を可能にする可能性があります。
根本原因:管理インターフェイスの不安全なデシリアライゼーション
問題の根本には、ウェブベース管理インターフェイスの不安全なデシリアライゼーションの欠陥があります。
脆弱性は、システムがユーザーが提供するJavaバイトストリームをデータを適切に検証せずに処理する場合に発生します。
デシリアライゼーション脆弱性は、アプリケーションがシリアル化されたデータを入力の信頼性を検証せずに実行可能なオブジェクトに変換する場合に発生し、攻撃者が悪意のある命令を含む特別に細工されたオブジェクトを提供できます。
攻撃者がこの脆弱性を悪用する方法
このシナリオでは、脅威アクターは悪意のあるシリアル化されたJavaオブジェクトを脆弱なインターフェイスに直接送信できます。
システムがオブジェクトをデシリアライズして処理すると、ペイロードは基盤となるオペレーティングシステム上の攻撃者制御下のJavaコードの実行をトリガーできます。
管理ソフトウェアが昇格された権限で動作するため、悪用に成功すると、攻撃者はルートレベルのアクセス権でコマンドを実行でき、影響を受けるシステムを完全に制御できます。
攻撃はネットワークを介してリモートで起動でき、事前の認証を必要とせず、ユーザーの操作に依存しません。
Ciscoはパッチをリリースしており、公開時点では活動的な悪用を確認していません。
ファイアウォール管理インフラストラクチャを保護する方法
この欠陥は認証されていないリモートコード実行を許可し、構成変更による軽減ができないため、利用可能なパッチを適用し、管理インターフェイスへのアクセスを制限することは重要な保護措置です。
- 問題を修復するために最新のパッチを適用します。
- ネットワークセグメンテーション、アクセス制御リスト、およびVPNまたはバスティオンホストの要件を使用して、ファイアウォール管理インターフェイスへのアクセスを制限します。
- 管理ポータルがパブリックインターネットに公開されていないことを確認し、信頼できる管理ネットワークからのみアクセス可能です。
- 監視認証アクティビティ、構成の変更、およびシステムログで、疑わしい動作または不正なルール変更の兆候がないか確認します。
- 一元化されたログを有効にし、SIEMまたは他のセキュリティ監視ツールを設定して、管理インフラストラクチャを対象とした異常なアクティビティについてアラートします。
- ロールベースのアクセス制御を使用して管理権限を制限し、ファイアウォール管理者に対して最小権限アクセスを適用します。
- インシデント対応計画をテストし、攻撃シミュレーションツールを使用し、ネットワーク管理システムへの攻撃に関するシナリオで定期的なテーブルトップを実施します。
全体的に、これらの措置は侵害の可能性のある影響範囲を制限し、組織のネットワーク管理インフラストラクチャ全体の復元力を強化するのに役立ちます。
攻撃者はセキュリティインフラストラクチャをターゲットにする
この発見は、エンタープライズセキュリティのより広い課題も反映しています。一元化された管理プラットフォームは攻撃者にとって魅力的なターゲットになる可能性があります。
脅威アクターは、個別のエンドポイントやサーバーのみに焦点を当てるのではなく、セキュリティインフラストラクチャを管理または制御するシステムを侵害しようとする可能性があります。
例えば、ファイアウォール管理プラットフォームへのアクセスにより、攻撃者は複数のシステムにわたるセキュリティポリシーまたは監視設定を変更できる可能性があります。
このアプローチは、攻撃者がアイデンティティサービス、クラウド管理コンソール、セキュリティオーケストレーションプラットフォームなどの高権限インフラストラクチャをターゲットにする幅広いトレンドと一致しています。
これらの進化する攻撃パターンは、組織がゼロトラスト・ソリューションを採用している理由の1つであり、暗黙的な信頼を制限し、一元化されたシステムの侵害の影響を軽減するのに役立ちます。
