「最高レベルセキュリティ備える」はずのMITREはなぜ侵入されたか? 調査結果が発表
MITREはサイバー攻撃調査結果と防衛策を発表した。不正アクセスはIvantiの脆弱性を利用しNERVEネットワークに侵入したものだった。攻撃者はセッションハイジャックやRDPを使って内部システムに接続し永続的なバックドアを設置している。
MITRE(The Mitre Corporation)は2024年5月23日(現地時間、以下同)、同組織へのサイバー攻撃調査結果と防衛策を発表した。不正アクセスは「Ivanti Connect Secure」のゼロデイ脆弱(ぜいじゃく)性(CVE-2023-46805、CVE-2024-21887)を利用してNERVEネットワークに侵入したものだった。
Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion|by Lex Crumpton|MITRE-Engenuity|May, 2024|Medium(出典:MediumのWebサイト)
MITREはなぜ侵入されたか? 調査結果
今回の攻撃は、攻撃者がWebシェルを展開し、多要素認証を回避、セッションハイジャックやRDP over HTML5を使って内部システムに接続し、VMware vCenter Serverと通信し複数のESXiホストとの接続を確立している。
MITREはこれらの脅威に対処するための具体的な防衛策を示した他、潜在的な脅威の検出する方法などを説明した。今回のサイバーセキュリティインシデントはどの組織も最新の情報と対策を継続的に講じる必要性を示している。
MITREの調査結果および防衛策によれば、情報窃取が行われたことは伝えられているが、窃取された情報の詳細については明らかにされていない。また、2024年2月から3月にかけて行われた不正アクセスに関しては成功していないことも報じられている。
MITREは2024年4月に同組織の研究・開発・プロトタイピング用のネットワーク「NERVE(Networked Experimentation, Research, and Virtualization Environment)」において不審な活動を検出した。調査の結果、2024年4月19日(現地時間)にサイバーセキュリティ侵害の事実を公表している。
調査によるとMITREへの初期の侵入経路は「Ivanti Connect Secure」における次の2つのゼロデイセキュリティ脆弱性とされている。
サイバーセキュリティ攻撃者はこれらセキュリティ脆弱性を突いてIvanti Connect SecureにWebシェルを展開しNERVEへ侵入した。このアクセスポイントを利用することで多要素認証(MFA)の必要性を回避を実現している。
サイバーセキュリティ攻撃者はセッションハイジャックとRDP over HTML5を使ってNERVE内部のシステムへの接続を確立し、侵害したIvanti Connect SecureからVMware vCenter Serverと通信し複数のESXiホストとの接続を確立している。加えてRDP経由でNERVE内部の複数のアカウントを乗っ取りユーザーのブックマークファイルやファイル共有にアクセスを行っている。
さらにサイバーセキュリティ攻撃者は永続性を確立するために複数の仮想マシンを作成してバックドア「BRICKSTORM」およびJSP Webシェル「BEEFLUSH」を展開し、正規のネットワークに紛れた通信チャンネルの確立を行っている。
MITREは同様のサイバーセキュリティ攻撃を検出および防御するために次の対策を推奨している。
- 不正な仮想マシンを検出する - サイバーセキュリティ攻撃者は不正な仮想マシンを作成している。この不正な仮想マシンはハイパーバイザー管理インターフェイスからは隠されているため、「vim-cmd vmsvc/getallvms」および「esxcli vm process list | grep Display」のようにコマンドを実行して確認する
- 永続性を検出する - サイバーセキュリティ攻撃者は不正な仮想マシンとの永続性を確立するためにハイパーバイザー起動スクリプトを書き換えている。書き換えは「grep -r \/bin\/vmx /etc/rc.local.d/」および「cat /etc/rc.local.d/local.sh」を実行し、「/bin/vmx」を使って仮想マシンを起動するコマンドが挿入されていないか確認することで調べることができる
またMITREはVMware環境における潜在的な脅威を検出するPowerShellスクリプト「Invoke-HiddenVMQuery」を公開しており、こうしたツールを活用することも望まれている。
MITREはサイバーセキュリティの分野で米国の政府機関やそのほかの公共機関に対して技術的およびシステムエンジニアリングサービスなどを提供する組織。公共の利益のために最先端の科学技術を活用して政府機関が直面する複雑な課題を解決することを目的としており、サイバーセキュリティに関しても最高のレベルを維持していると考えられている。
MITREがサイバーセキュリティ攻撃者による不正アクセスを受けた事実は、脅威アクターが常にサイバーセキュリティ攻撃の戦術、技術、手順(TTPs)を進化させていることを意味しており、どのような組織であっても常に最新の情報を収集して対策を行い続けることの必要性を示している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
村田製作所がネットワークへの不正アクセスを公表 データ漏えいの可能性
村田製作所への不正アクセスが発覚し、データ漏えいの可能性が指摘されている。
マツダが10万件をこえるデータ流出か サーバ機器への不正アクセスを発表
マツダが外部の不正アクセスにより、関係者の個人情報が流出した可能性があると発表した。
セイコー、ランサムウェアで約6万件の個人情報漏えい 取引先や採用応募者の情報も
セイコーグループはランサムウェア攻撃に遭い、約6万件の個人情報が漏えいしたと発表した。グループ内の個人情報に加え、取引先や採用応募者の情報なども漏えいしたと説明している。
Oktaの顧客を狙った大規模なサイバー攻撃 従業員のアカウント侵害が引き金か
Oktaは、1PasswordとBeyondTrustの報告を受け、2023年9月28日〜10月17日にかけて134の顧客がサイバー攻撃者による不正アクセスの影響を受けたことを発表した。
関連リンク
- NVD - CVE-2023-46805
- NVD - CVE-2024-21887
- public-resources/nerve-incident at master ・ center-for-threat-informed-defense/public-resources
- MITRE Response to Cyber Attack in One of Its R&D Networks | MITRE
- Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion|by Lex Crumpton|MITRE-Engenuity|May, 2024|Medium