米国サイバーセキュリティ・インフラストラクチャセキュリティエージェンシー(CISA)は、ランサムウェア攻撃者が活動している中、すべての連邦民間機関に対してシスコファイアウォール製品のクリティカルなリモートコード実行(RCE)脆弱性にパッチを適用するよう通知しました。
CVE-2026-20131はシスコセキュアファイアウォールマネジメントセンター(FMC)のウェブベースの管理インターフェースに影響します。最大CVSSスコアが10であり、「認証されていないリモート攻撃者が影響を受けたデバイス上で任意のJavaコードをroot権限で実行することを許可する可能性がある」とベンダーは述べています。
Interlockランサムウェアグループが数か月間ゼロデイとして悪用していたというレポートの後、3月4日にシスコによってパッチが適用されました。
CISAは3月19日木曜日、このCVEを既知の悪用された脆弱性(KEV)カタログに追加し、機関に対してパッチを適用するか、「軽減策が利用できない場合は製品の使用を中止する」までたった3日間を与えました。
これはCISAにとって異常に短いタイムラインであり、状況の緊急性を反映しています。エントリーには、このCVEが「ランサムウェアキャンペーンで使用されていることが知られている」ことを述べた警告メモが添付されています。
シスコのゼロデイについてさらに詳しく:グローバルサイバー機関がシスコSD-WANゼロデイの即時パッチ適用を促す。
シスコセキュアファイアウォールマネジメントセンター(FMC)は、ベンダーによってシスコネットワークセキュリティ製品の「管理中枢」を提供するものとして説明されています。ファイアウォール、アプリケーション制御、侵入防止、URLフィルタリング、および高度なマルウェア保護の一元管理を提供していると、シスコは述べています。
この脆弱性は「ユーザー提供のJavaバイトストリームの安全でないデシリアライゼーション」が原因であると、CVEプログラムによると述べられています。
「攻撃者は、影響を受けたデバイスのウェブベースの管理インターフェースに細工されたシリアル化されたJavaオブジェクトを送信することで、この脆弱性を悪用することができます」と説明しています。「成功した悪用により、攻撃者がデバイス上で任意のコードを実行し、特権をrootに昇格させることが可能になる可能性があります。」
攻撃者がCVEを使用している方法
AWSは先週、Interlockキャンペーンの詳細なレポートを公開し、1月26日以来、攻撃でCVE-2026-20131を悪用していたことに警告を発しました。
バグを通じた初期アクセスを獲得した後、攻撃者は永続性のために様々なポスト利用ツールと技術を使用しました。これらには、Windows環境列挙のためのPowerShellスクリプト、および永続的な制御のためにJavaScriptとJavaで書かれた2つのカスタムリモートアクセストロイの木馬(RAT)が含まれていました。
AWSによっても発見されたのは、AV検出を回避するためにHTTPリクエストをメモリ内完全にインターセプトする「永続的なメモリ常駐バックドア」でした。
グループはまた、発見された場合のバックアップエントリーポイントとして、正当なリモートデスクトップツールConnectWise ScreenConnectをインストールすることで、拠点をカバーしました。
さらに、彼らはオープンソースのメモリフォレンジックフレームワークVolatilityを使用してメモリダンプを解析し、横方向の移動とより深い侵害のためにRAMに保存された認証情報にアクセスしました。
彼らはセキュリティツールCertifyをデプロイして、Active DirectoryCertificate Services(AD CS)の設定ミスを特定し悪用しました。これにより、脅威アクターが「認証可能な証明書」をリクエストでき、ユーザーの偽装、特権の昇格、または永続的なアクセスを維持するために使用できると、AWSは述べています。
このレポートには、パッチ適用と潜在的な侵害の特定のための即時タスクから、検出機会まで、そしてより長期的な多層防御対策に至るまで、潜在的な防御アクションの長いリストが含まれていました。
CISAの指令は連邦機関にのみ適用されていますが、民間部門も同じガイダンスをベストプラクティスとして従うことが奨励されています。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-orders-us-government-patch/
