「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘

FireEyeは、VPN製品「Pulse Connect Secure（PCS）」に対するゼロデイ攻撃に、中国の支援を受けるグループが攻撃に関与した可能性があるとの見方を示した。

同社が2021年初頭より防衛、政府機関、金融機関など、複数のインシデントを調査したところ、DHCPにより割り振られたIPアドレスが、「PCS」の範囲であることが判明。同機器を侵害する攻撃であることを突き止めた。

当初、アプライアンスの管理者レベルを取得した手段が不明だったが、Ivanti Softwareが調査を行ったところ、未知のゼロデイ脆弱性「CVE-2021-22893」や、2019年以降に判明した既知の脆弱性3件が組み合わせて利用されていることが判明したという。

機器内部の正規ファイルが改ざんされたり、ウェブシェルなどを設置しており、FireEyeでは、今回の脆弱性に対する攻撃で12件のマルウェアファミリーを追跡していることを明らかにしている。

これらマルウェアファミリーは、必ずしも相互に関連しておらず、別々の調査で発見されたものもあり、「PCS」を対象とする攻撃に、複数の攻撃グループが関与している可能性がある。

（Security NEXT - 2021/04/22 ） ツイート

PR

関連記事

Ivantiのリモートアクセス製品に複数脆弱性 - アップデートが公開
Ivanti、「外部整合性チェックツール」の機能強化版を公開
Ivanti製品の侵害、以前のツールでは検証回避のおそれ
IvantiのVPN製品脆弱性、限定的な攻撃から多様な攻撃へと発展
Ivanti製リモートアクセス製品に再び脆弱性 - 悪用は未確認
Ivanti製品のあらたなゼロデイ脆弱性 - 米当局が3日以内の対応を要請
Ivantiがアップデートをリリース - あらたなゼロデイ脆弱性も公表
Ivanti製品、パッチ提供に遅れ - 緩和策を回避する攻撃も
Ivanti脆弱性、PoC公開で攻撃増 - 痕跡消去の可能性も踏まえ調査を
米政府、IvantiのVPN製品脆弱性を受けて緊急指令