Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘

FireEyeは、VPN製品「Pulse Connect Secure(PCS)」に対するゼロデイ攻撃に、中国の支援を受けるグループが攻撃に関与した可能性があるとの見方を示した。

同社が2021年初頭より防衛、政府機関、金融機関など、複数のインシデントを調査したところ、DHCPにより割り振られたIPアドレスが、「PCS」の範囲であることが判明。同機器を侵害する攻撃であることを突き止めた。

当初、アプライアンスの管理者レベルを取得した手段が不明だったが、Ivanti Softwareが調査を行ったところ、未知のゼロデイ脆弱性「CVE-2021-22893」や、2019年以降に判明した既知の脆弱性3件が組み合わせて利用されていることが判明したという。

機器内部の正規ファイルが改ざんされたり、ウェブシェルなどを設置しており、FireEyeでは、今回の脆弱性に対する攻撃で12件のマルウェアファミリーを追跡していることを明らかにしている。

これらマルウェアファミリーは、必ずしも相互に関連しておらず、別々の調査で発見されたものもあり、「PCS」を対象とする攻撃に、複数の攻撃グループが関与している可能性がある。

(Security NEXT - 2021/04/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

VPN製品「Pulse Connect Secure」にアップデート - ゼロデイ脆弱性など修正
「Pulse Connect Secure」脆弱性で国内法人もアナウンス
VPN製品「Pulse Connect Secure」にゼロデイ攻撃 - アップデートは5月上旬
米政府、「Pulse Connect Secure」のゼロデイ脆弱性対応で緊急指令
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
Fortinet製VPN使う脆弱なホスト情報が公開 - 平文パスワードなども
凶暴性増すランサムウェアの裏側 - 今すぐ確認したい「意外な設定」
米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ
露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連