「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘

FireEyeは、VPN製品「Pulse Connect Secure（PCS）」に対するゼロデイ攻撃に、中国の支援を受けるグループが攻撃に関与した可能性があるとの見方を示した。

同社が2021年初頭より防衛、政府機関、金融機関など、複数のインシデントを調査したところ、DHCPにより割り振られたIPアドレスが、「PCS」の範囲であることが判明。同機器を侵害する攻撃であることを突き止めた。

当初、アプライアンスの管理者レベルを取得した手段が不明だったが、Ivanti Softwareが調査を行ったところ、未知のゼロデイ脆弱性「CVE-2021-22893」や、2019年以降に判明した既知の脆弱性3件が組み合わせて利用されていることが判明したという。

機器内部の正規ファイルが改ざんされたり、ウェブシェルなどを設置しており、FireEyeでは、今回の脆弱性に対する攻撃で12件のマルウェアファミリーを追跡していることを明らかにしている。

これらマルウェアファミリーは、必ずしも相互に関連しておらず、別々の調査で発見されたものもあり、「PCS」を対象とする攻撃に、複数の攻撃グループが関与している可能性がある。

（Security NEXT - 2021/04/22 ） ツイート

PR

関連記事

米当局、Ivanti製品の脆弱性に注意喚起 - 侵害痕跡なくとも初期化検討を
あらたなIvanti脆弱性 - パッチ分析で特定し、3月中旬より攻撃展開か
「Ivanti Connect Secure」などにあらたなRCE脆弱性 - すでに悪用も
「Laravel」のモニタリングツールに脆弱性 - アップデートで修正
Ivantiのリモートアクセス製品に複数脆弱性 - 「クリティカル」も
Ivantiのリモートアクセス製品に脆弱性 - 「クリティカル」も複数
頻繁に悪用された脆弱性トップ15 - 多くでゼロデイ攻撃も
Ivantiのリモートアクセス製品に複数脆弱性 - アップデートが公開
Ivanti、「外部整合性チェックツール」の機能強化版を公開
Ivanti製品の侵害、以前のツールでは検証回避のおそれ