TokyoBlackHatNews

csoonline.com 5分で読了

ランサムウェアグループがCiscoファイアウォール脆弱性をゼロデイとして悪用、パッチ公開の数週間前に

Amazonが1月にInterlockランサムウェアがFMC欠陥をターゲットにし始めたことを明かしたため、管理者は緊急パッチ対応を迫られている。

世界で最も活動的なランサムウェアグループの一つであるInterlockが、3月初旬にパッチが当てられる数週間前から、Ciscoファイアウォール脆弱性をゼロデイとして悪用していたことがAmazonの調査で明らかになった。

問題の脆弱性はCVE-2026-20131で、Cisco Secure Firewall Management Center(FMC)ソフトウェアのリモート悪用可能なデシリアライゼーション欠陥であり、最高スコアの10 CVSSを獲得している。

Ciscoが3月4日に半年ごとのファイアウォール更新の一部としてパッチをリリースしたとき、セキュリティチームは同じ重大度レーティングを持つ2番目のFMC脆弱性CVE-2026-20079の修正とともに、これを緊急に適用する必要があることを認識していただろう。

しかし、Interlockが1月26日にCVE-2026-20131の悪用を開始し、パッチのリリースの約38日前であったというAmazonの発見は、この問題を単なる「緊急」から本格的なゼロデイ脆弱性パッチ対応の緊急事態へと変えてしまう。

攻撃者のミス

Amazonはおよび会社のMadPotグローバルネットワーク(AWSプラットフォーム全体に展開されている数千のセンサーで構成されたハニーポットシステム)を使用して、Ciscoの勧告後にCVE-2026-20131の悪用の検索を開始したと述べた。

これにより、脆弱性が公開される数週間前の攻撃がすぐに発見された。「観察された活動は、影響を受けたソフトウェアの特定のパスへのHTTPリクエストに関連していた」と、Amazon Integrated SecurityのCISO、CJ Mosesは今週のブログで述べた。

彼は付け加えて述べた:「これはもう一つの脆弱性悪用ではなく、Interlockは手にゼロデイを持っていて、防御者が探す方法を知る前に組織を侵害する1週間のアドバンテージを与えていた。」彼は後にCSOに、彼が言及した「1週間のアドバンテージ」はAmazonの後の分析が掘り起こした最初の悪用の日付とCiscoのバグ発見の間のギャップであることを明確にした。

Amazonはハニーポットを使用して脆弱なファイアウォールシステムを模倣することで、攻撃者のインフラストラクチャについての洞察を得た。これはハニーポットへの攻撃をもたらし、攻撃者から悪意のあるバイナリを受け取った。また、ランサムウェアが不安全に保護されたステージングエリアを持つ単一のサーバーに依存していることも明らかにした。

これにより、研究者はトロイの木馬、偵察スクリプト、および回避技術を含むグループの完全な攻撃チェーンを分析することができた。

Interlockを解き明かす

Amazonによると、ツールと技術はマルウェアをInterlock(2024年に登場したランサムウェアアクター)に結び付けており、2023年にThe British Libraryへの大規模に破壊的なランサムウェア攻撃の背後にあった悪名高いRhysidaグループのランサムウェア・アズ・ア・サービス(RaaS)の分派である可能性がある。そのランサムウェア攻撃

「ELF [Linux実行可能ファイル]バイナリと関連する成果物は、収束する技術的および運用上の指標に基づいて、Interlockランサムウェアファミリーに帰属している。埋め込まれた身代金メモとTOR交渉ポータルはInterlockの確立されたブランディングとインフラストラクチャと一致している」とAmazonのMosesは述べた。

過去には、Interlockは教育、エンジニアリング、建築、建設、製造、ヘルスケア、ならびに政府および公共セクターエンティティなどのセクターをターゲットにしていた、とMosesは述べた。

しかし、グループがCiscoファイアウォールのような一般的な機器のゼロデイ脆弱性を1ヶ月以上悪用できたことを考えると、脆弱性のあるあらゆる組織がリスクにさらされる可能性がある。

ゼロデイ悪用の「根本的な課題」

「ここでの本当の物語は、1つの脆弱性や1つのランサムウェアグループについてだけでなく、ゼロデイ悪用がすべてのセキュリティモデルにもたらす根本的な課題についてである」とMosesは述べた。

「パッチが存在する前に攻撃者が脆弱性を悪用する場合、最も勤勉なパッチプログラムでさえ、その重大な期間中はあなたを保護することができない。これが多層防御が不可欠である理由である。」

Interlockがゼロデイ脆弱性としてCVE-2026-20131を悪用できた期間にいくつの被害者を侵害した可能性があるかはまだ不明であるが、それらは多数である可能性が高い。Amazonブログには、セキュリティチームが侵害の可能性の証拠としてログで検索できるIPアドレス、悪意のあるドメイン、およびJA3クライアントフィンガープリントハッシュのリストが含まれている。

CVE-2026-20131のパッチ手順、およびCiscoの3月4日更新に含まれる他の47のCVEは、インストールされているFMCソフトウェアのバージョンによって異なる。Ciscoは、そのソフトウェアチェッカーを使用して適切な更新を決定することをお勧めしている。

翻訳元: https://www.csoonline.com/article/4147770/ransomware-group-exploited-cisco-firewall-vulnerability-as-a-zero-day-weeks-before-a-patch-appeared.html

ソース: csoonline.com
#Cisco #CVE-2026-20131 #Interlock #エンタープライズセキュリティ #サイバー攻撃 #セキュリティ脅威 #ゼロデイ脆弱性 #ファイアウォール #ランサムウェア #脆弱性管理

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活