Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Pulse Connect Secure」のゼロデイ攻撃に中国支援組織が関与か - FireEye指摘

FireEyeは、VPN製品「Pulse Connect Secure(PCS)」に対するゼロデイ攻撃に、中国の支援を受けるグループが攻撃に関与した可能性があるとの見方を示した。

同社が2021年初頭より防衛、政府機関、金融機関など、複数のインシデントを調査したところ、DHCPにより割り振られたIPアドレスが、「PCS」の範囲であることが判明。同機器を侵害する攻撃であることを突き止めた。

当初、アプライアンスの管理者レベルを取得した手段が不明だったが、Ivanti Softwareが調査を行ったところ、未知のゼロデイ脆弱性「CVE-2021-22893」や、2019年以降に判明した既知の脆弱性3件が組み合わせて利用されていることが判明したという。

機器内部の正規ファイルが改ざんされたり、ウェブシェルなどを設置しており、FireEyeでは、今回の脆弱性に対する攻撃で12件のマルウェアファミリーを追跡していることを明らかにしている。

これらマルウェアファミリーは、必ずしも相互に関連しておらず、別々の調査で発見されたものもあり、「PCS」を対象とする攻撃に、複数の攻撃グループが関与している可能性がある。

(Security NEXT - 2021/04/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

2021年に悪用多かった脆弱性トップ15 - 首位は「Log4Shell」、VPNも引き続き標的に
VPN製品「Pulse Connect Secure」にDoS攻撃受けるおそれ - アップデートで修正
「Pulse Secure Connect」を侵害するマウルウェアレポート5件を公開 - 米政府
米政府、「Pulse Connect Secure」狙うマルウェアの解析情報
VPN製品「Pulse Connect Secure」に複数脆弱性 - 悪用未確認、更新を強く推奨
米英豪、悪用多い脆弱性トップ30件を公表 - 早急に修正を
「Pulse Connect Secure」に未修正の脆弱性 - 更新準備中、回避策実施を
VPN製品「Pulse Connect Secure」にアップデート - ゼロデイ脆弱性など修正
「Pulse Connect Secure」脆弱性で国内法人もアナウンス
VPN製品「Pulse Connect Secure」にゼロデイ攻撃 - アップデートは5月上旬