中国のAPTグループによる野放し攻撃で悪用されたCiscoの重大な脆弱性を修正

中国の脅威アクターによるゼロデイ攻撃に対応するCisco

Ciscoは、中国の高度持続的脅威（APT）グループ「UAT-4686」によって野放し攻撃で悪用されていた重大な脆弱性（CVE-2024-20399）を修正するセキュリティアップデートを公開しました。この脆弱性は、特定のインターネットに公開されたポートを持つ脆弱なCiscoアプライアンスにAquaShellバックドアを展開するために悪用されました。

技術的詳細

この脆弱性はCVE-2024-20399として追跡されており、脆弱なソフトウェアバージョンを実行しているCiscoアプライアンスに影響を及ぼします。Ciscoは完全な技術的詳細を公開していませんが、この脆弱性は不正アクセスの獲得と任意のコマンド実行に悪用されました。AquaShellバックドアは、軽量なマルウェアであり、その後に持続性を維持し、さらなる侵害を容易にするために展開されました。

攻撃ベクトルは、特定のポートがインターネットに公開されている必要があり、不適切なネットワークセグメンテーションや誤設定された境界防御のリスクを浮き彫りにしています。

影響分析

UAT-4686によるCVE-2024-20399の悪用は、ネットワークインフラを標的とする国家支援の脅威アクターによる継続的な脅威を強調しています。AquaShellバックドアは、脅威アクターに以下の能力を提供します：

• 侵害されたシステム上でのリモートコマンド実行
• 機密データの持ち出し
• ネットワーク内での横方向移動のための足がかりの確立

企業および政府環境でCiscoアプライアンスが広く使用されていることを考慮すると、この脆弱性は公開されたデバイスを持つ組織にとって重大なリスクをもたらします。

推奨事項

Ciscoは、顧客に対して悪用リスクを軽減するために利用可能なパッチを直ちに適用するよう強く推奨しています。セキュリティチームはまた、以下の対策を講じるべきです：

• 不要なポートがインターネットに公開されていないことを確認するためにネットワーク設定の監査を実施
• 不審なコマンド実行やネットワークトラフィックなど、侵害の兆候を監視
• AquaShellの活動の指標（異常なプロセス実行や既知のコマンド＆コントロール（C2）サーバーへの接続など）についてログを確認

組織は、詳細なパッチ適用手順および追加の緩和ガイダンスについては、Ciscoのセキュリティアドバイザリに従うことを推奨します。

さらなる分析については、SecurityWeekの元記事を参照してください。