Tenable ブログ
ブログ通知を受信するSea Turtle DNSハイジャックキャンペーン、少なくとも7件の修正パッチ利用可能な脆弱性を突く
Sea Turtleキャンペーンは、2009年から2018年までに修正パッチがリリースされている7件の脆弱性を突いて組織を侵害し、DNS名レコードをハイジャックします。
背景
4月17日、シスコのTalos Intelligence Groupの研究者は、DNS Hijacking Abuses Trust In Core Internet Service(DNSハイジャック、コアインターネットサービスの信頼を悪用)というブログを公開しました。このブログは、さまざまな企業や政府機関、特に中東と北アフリカにある2つの組織を対象とした2年間の攻撃キャンペーンについて詳しく説明しています。このブログに先行して、米国国土安全保障省(DHS)は、2019年1月にDNSインフラストラクチャハイジャックキャンペーンについての警告を発表しています。この警告には、一般的な妥協の指標(IOC)の他、いくつかの技術的詳細が含まれています。DHSの警告は、FireEyeのThreat Researchチーム、Crowdstrikeによる調査、および、2018年11月下旬にリリースされたCisco Talosからの同様のレポートを参照しています。
分析
Sea Turtleキャンペーンの分析は、パッチ適用済みの7件の脆弱性および詐欺的な電子メールなどが標的となる組織を侵害するために使用されていることを明らかにしています。攻撃者は組織に侵入したり、侵入後に組織内を横方向に移動するために脆弱性を悪用します。
以下は、Sea Turtle攻撃で悪用されたシスコの脆弱性のリストです。これは、完全なリストと見なすべきではありません
ソフトウェア/システムアプリケーションの脆弱性:
- CVE-2009-1151 - phpMyAdminにおける静的コードインジェクションの脆弱性
- CVE-2014-6271 - GNU Bashでのコマンドインジェクション (Shellshock AKA Bash Bug)
- CVE-2017-12617 - Apache TomcatでのJSPファイルの任意のファイルアップロード
- CVE-2018-7600 - Drupal Coreの脆弱性「Drupalgeddon」
シスコ製品関連の脆弱性:
- CVE-2017-3881 - Cisco IOSおよびIOS XEのクラスタ管理プロトコルのTelnetバグ
- CVE-2017-6736 - Cisco IOSおよびIOS XE用の簡易ネットワーク管理プロトコル(SNMP)のバッファオーバーフロー
- CVE-2018-0296 - Cisco適応型セキュリティアプライアンス(ASA)の入力検証の脆弱性
上記のすべての脆弱性に対する概念実証やエクスプロイトコードはすでに公開されています。
ソリューション
Sea Turtleキャンペーンは過去数年間に公開された既知の脆弱性を悪用しているため、組織は定期的に脆弱性評価を実施し、徹底したパッチ管理プロセスを実施する必要があります。
影響を受けているシステムの特定
これらの脆弱性を検出するNessusプラグインは、こちらからご覧いただけます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning