Velvet Antは、サイバースパイ活動を展開する脅威アクターです。
この脅威アクターは、これまでもいくつもの作戦で脅威活動を展開してきていますが、現在のキャンペーンでは、シスコ製品から侵入する動きを見せています。
- 入口
侵入経路はシスコ社のswitchです。
シスコのswitchにはいくつものシリーズがありますが、今回ターゲットとなっているのはNexusシリーズです。 - 侵入の流れ
まずは、管理用のコマンドラインインターフェースに一般管理者として接続します。
その状態で細工した引数を含むコマンド文字列を入力します。
脆弱なバージョンのswitchは、この入力内容の検査を十分に行うことができず、想定外の動作状態となります。
この脆弱性を悪用した行為により、一般管理者権限だった接続状態は特権状態に遷移します。 - こっそり実行
通常は管理コマンドを実行すると、コマンドを実行したことが連携設定されたSYSLOGサーバに記録されます。
しかし、この攻撃を通じて侵害された状態においては、このSYSLOGでのコマンド実行履歴の通知は実行されません。
通常の監視行為では侵害されて自由に操作されてしまっていることを検出することはできません。 - 自由に管理コマンドを実行
侵入者はすでに特権状態となっています。
このため、環境にある任意のコマンドを実行することが可能です。 - 環境にない内容を実行
侵入者は環境にある任意のコマンドを実行できるだけでなく、環境にない内容を実行することも可能です。
追加のファイルを機器にアップロードし、侵害デバイス上で実行できます。
今回悪用されていることが分かった脆弱性は、CVE-2024-20399です。
この脆弱性に対策したバージョンは、すでにリリースされてます。
この脆弱性そのものはローカルの特権昇格に相当するものですので、これ単体では攻撃は成り立ちません。
しかし、ソーシャルエンジニアリングなど他のいろいろな取り組みで不足した部分を補われてしまうことは容易に想像できます。
この脆弱性を悪用した攻撃は研究者が先行して発見した概念実証のようなものではなく、実際の攻撃活動として展開されていたものを発見したものです。
すぐに対策を実施しましょう。
China-Nexus Threat Group ‘Velvet Ant’ Exploits Cisco Zero-Day (CVE-2024-20399) to Compromise Nexus Switch Devices – Advisory for Mitigation and Response
https://www.sygnia.co/threat-reports-and-advisories/china-nexus-threat-group-velvet-ant-exploits-cisco-0-day/
| この記事をシェア |
|
|---|
