Last Updated on 2024-07-08 07:51 by 門倉 朋宏
Ivanti Connect Secure (ICS)デバイスの2つのセキュリティ脆弱性が、悪名高いMiraiボットネットの展開に悪用されている。Juniper Threat Labsの調査によると、CVE-2023-46805とCVE-2024-21887の脆弱性がボットネットペイロードの配信に利用された。CVE-2023-46805は認証バイパスの脆弱性であり、CVE-2024-21887はコマンドインジェクションの脆弱性である。これにより、攻撃者はこれら2つを組み合わせて任意のコードを実行し、影響を受けやすいインスタンスを乗っ取ることができる。
攻撃チェーンでは、CVE-2023-46805が利用されて”/api/v1/license/key-status/;”エンドポイントへのアクセスを得、そこでコマンドインジェクションが可能となりペイロードが注入される。AssetnoteによるCVE-2024-21887の技術的な深掘りによると、”/api/v1/totp/user-backup-code/”へのリクエストによってマルウェアの展開がトリガーされる。このコマンドシーケンスは、ファイルの削除、リモートサーバーからのスクリプトのダウンロード、実行権限の設定、スクリプトの実行を試み、システムの感染につながる可能性がある。
また、SonicWallは、偽のWindows File Explorer実行ファイル(“explorer.exe”)が発見され、これが暗号通貨マイナーをインストールしていることを明らかにした。マルウェアの正確な配布ベクトルは現在不明である。実行時には、”/Windows/Fonts/”ディレクトリに悪意のあるファイルをドロップし、マイニングプロセスを開始するバッチファイルを含む主要な暗号通貨マイナーファイルが含まれる。
【ニュース解説】
Ivanti Connect Secure (ICS)デバイスに存在する2つのセキュリティ脆弱性が、Miraiボットネットの配信に悪用されていることが明らかになりました。これらの脆弱性は、CVE-2023-46805とCVE-2024-21887として識別されており、それぞれ認証バイパスとコマンドインジェクションの問題を抱えています。攻撃者はこれらの脆弱性を組み合わせることで、任意のコードを実行し、対象のシステムを乗っ取ることが可能になります。
具体的には、CVE-2023-46805を利用して特定のAPIエンドポイントへのアクセスを得た後、CVE-2024-21887を利用してコマンドインジェクションを行い、Miraiボットネットのマルウェアをダウンロードして実行します。この攻撃手法により、システムは感染し、攻撃者によって制御されることになります。
このような攻撃は、サイバーセキュリティの脅威が常に進化していることを示しています。Miraiボットネットは、多数のIoTデバイスを感染させて巨大なボットネットを形成し、DDoS攻撃などに利用されることで知られています。今回の攻撃手法が明らかになったことで、同様の手法を用いた他のマルウェアやランサムウェアの配信も懸念されます。
この問題の解決には、対象となるICSデバイスのセキュリティパッチの適用が急務です。また、企業や組織は、ネットワークの監視を強化し、異常な通信や不審な動作を検出することで、攻撃の兆候を早期に発見することが重要です。
さらに、SonicWallによる別の報告では、偽のWindows File Explorer実行ファイルを介して暗号通貨マイナーが配布されていることが明らかにされました。このようなマルウェアは、システムリソースを不正に使用し、パフォーマンスの低下やシステムの不安定化を引き起こす可能性があります。
これらの事例から、サイバーセキュリティは単一の脅威に対処するだけでなく、複数の脅威が組み合わさった複雑な攻撃にも対応できるよう、継続的な監視と迅速な対応が求められることがわかります。また、最新の脅威情報を常に把握し、セキュリティ対策を更新し続けることが、サイバー攻撃から自身を守るための鍵となります。
from Mirai Botnet Exploits Ivanti Connect Secure Flaws for Malicious Payload Delivery.
