Sea Turtle DNSハイジャックキャンペーン、少なくとも7件の修正パッチ利用可能な脆弱性を突く
Sea Turtleキャンペーンは、2009年から2018年までに修正パッチがリリースされている7件の脆弱性を突いて組織を侵害し、DNS名レコードをハイジャックします。
背景
4月17日、シスコのTalos Intelligence Groupの研究者は、DNS Hijacking Abuses Trust In Core Internet Service(DNSハイジャック、コアインターネットサービスの信頼を悪用)というブログを公開しました。このブログは、さまざまな企業や政府機関、特に中東と北アフリカにある2つの組織を対象とした2年間の攻撃キャンペーンについて詳しく説明しています。このブログに先行して、米国国土安全保障省(DHS)は、2019年1月にDNSインフラストラクチャハイジャックキャンペーンについての警告を発表しています。この警告には、一般的な妥協の指標(IOC)の他、いくつかの技術的詳細が含まれています。DHSの警告は、FireEyeのThreat Researchチーム、Crowdstrikeによる調査、および、2018年11月下旬にリリースされたCisco Talosからの同様のレポートを参照しています。
分析
Sea Turtleキャンペーンの分析は、パッチ適用済みの7件の脆弱性および詐欺的な電子メールなどが標的となる組織を侵害するために使用されていることを明らかにしています。攻撃者は組織に侵入したり、侵入後に組織内を横方向に移動するために脆弱性を悪用します。
以下は、Sea Turtle攻撃で悪用されたシスコの脆弱性のリストです。これは、完全なリストと見なすべきではありません
ソフトウェア/システムアプリケーションの脆弱性:
- CVE-2009-1151 - phpMyAdminにおける静的コードインジェクションの脆弱性
- CVE-2014-6271 - GNU Bashでのコマンドインジェクション (Shellshock AKA Bash Bug)
- CVE-2017-12617 - Apache TomcatでのJSPファイルの任意のファイルアップロード
- CVE-2018-7600 - Drupal Coreの脆弱性「Drupalgeddon」
シスコ製品関連の脆弱性:
- CVE-2017-3881 - Cisco IOSおよびIOS XEのクラスタ管理プロトコルのTelnetバグ
- CVE-2017-6736 - Cisco IOSおよびIOS XE用の簡易ネットワーク管理プロトコル(SNMP)のバッファオーバーフロー
- CVE-2018-0296 - Cisco適応型セキュリティアプライアンス(ASA)の入力検証の脆弱性
上記のすべての脆弱性に対する概念実証やエクスプロイトコードはすでに公開されています。
ソリューション
Sea Turtleキャンペーンは過去数年間に公開された既知の脆弱性を悪用しているため、組織は定期的に脆弱性評価を実施し、徹底したパッチ管理プロセスを実施する必要があります。
影響を受けているシステムの特定
これらの脆弱性を検出するNessusプラグインは、こちらからご覧いただけます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
Satnam Narang
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。
プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。
関連記事
Volt Typhoon: What State and Local Government Officials Need to Know
Increased activity from the state-sponsored threat group Volt Typhoon raises concerns about the cybersecurity of U.S. critical infrastructure. Here’s how you can identify potential exposures and attack paths....
Cybersecurity Snapshot: Guide Unpacks Event-Logging Best Practices, as FAA Proposes Stronger Cyber Rules for Airplanes
Looking to sharpen your team’s event logging and threat detection? A new guide offers plenty of best practices. Plus, the FAA wants airplanes to be more resilient to cyberattacks. Meanwhile, check out the critical vulnerabilities Tenable discovered in two Microsoft AI products. And get the latest on...
Detecting Risky Third-party Drivers on Windows Assets
Kernel-mode drivers are critical yet risky components of the Windows operating system. Learn about their functionality, the dangers they pose, and how Tenable's new plugins can help identify and mitigate vulnerabilities using community-driven resources like LOLDrivers....
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning