Palo Alto Networksを狙う「LITTLELAMB.WOOLTEA」バックドアの脅威：セキュリティニュースアラート

Northwave Cyber SecurityはPalo Alto Networksデバイスの脆弱性を悪用した攻撃を調査し、バックドア「LITTLELAMB.WOOLTEA」の存在を報告した。このバックドアは「logd」サービスを偽装し、広範な機能とステルス性能を備えている。

[後藤大地，有限会社オングス]

　Northwave Cyber Securityは、Palo Alto Networksのファイアウォール製品に対するアクティブな攻撃を調査し、バックドアマルウェア「LITTLELAMB.WOOLTEA」の存在を明らかにした。

　このバックドアは国家レベルの脅威アクターが公開した脆弱（ぜいじゃく）性（CVE-2024-9474）を悪用して侵入し、デバイスに持続的なアクセスを確立するために使用されている。

「PAN-OS」の脆弱性を悪用、ステルス性の高いバックドアに注意

　CVE-2024-9474はPalo Alto Networksの「PAN-OS」に存在する権限昇格の脆弱性だ。調査によると、このバックドアは正規の「logd」サービスを偽装して動作し、感染したシステムで広範な権限を行使できる。具体的にはファイル操作やシェルアクセス、ネットワークトンネルの確立、SOCKS5プロキシのセットアップなど多岐にわたる機能を備えていることが分かった。

　特に「magic knock」と呼ばれる特定の48バイトの信号を受信することで、攻撃者が通信を確立する仕組みが組み込まれている点が注目されている。さらにこのバックドアは既存のシステムポートをハイジャックすることで通信を実施し、自身の活動を隠ぺいする機能が含まれている。SSL暗号化を利用し、マルウェア通信を保護する機能も確認されている。

　高度なバックドアであるLITTLELAMB.WOOLTEAは脅威アクターがネットワーク内で長期間にわたり気付かれずに活動し、重要情報をひそかに収集する強力なツールとして機能する。

　CVE-2024-9474はサイバー犯罪者に積極的に悪用されている脆弱性であり、早急な対応と継続的な監視が求められる。脆弱性は既に修正されているため、影響を受けるデバイスの管理者には速やかなアップデートが推奨される。また、Palo Alto NetworksデバイスのWeb管理インタフェースのインターネット公開を避け、信頼できる内部IPアドレスのみに制限するなどの対策を実施することが望まれる。