ゼロデイ脆弱性からMITREに不正アクセス、VMware仮想環境で攻撃

画像提供：マイナビニュース

米国の非営利団体「MITRE」は5月23日(米国時間)、Mediumへの投稿「Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion｜by Lex Crumpton｜MITRE-Engenuity｜May, 2024｜Medium」において、MITREへの不正アクセス事案について調査結果や防衛策を公開した。MITREはサイバーセキュリティなどの分野で米国の政府機関などを支援する組織で、最高のサイバーセキュリティを維持していると評価されていた。

しかしながら2024年4月、MITREの研究、開発、プロトタイピング用ネットワーク「NERVE(Networked Experimentation, Research, and Virtualization Environment)」に不審な活動が検出された。MITREのセキュリティチームは直ちに調査を開始し、2024年4月19日に侵害の事実を公表している(参考：「MITRE Response to Cyber Attack in One of Its R&D Networks | MITRE」)。

○侵入経路

MITREによると初期の侵入経路は「Ivanti Connect Secure」に存在した2つのゼロデイの脆弱性(CVE-2023-46805およびCVE-2024-21887)とされる。攻撃者は2023年12月31日(米国時間)にこれら脆弱性を悪用してIvantiアプライアンスにWebシェル「ROOTROT」を展開し、MITREのNERVEに侵入した。攻撃者はこのアクセスポイントを利用することで多要素認証(MFA: Multi-Factor Authentication)を回避したとされる。

侵入に成功した攻撃者はセッションハイジャックとRDP over HTML5を使用してNERVE内のシステムへの接続を確立し、NERVE環境を偵察した。次に侵害したIvantiアプライアンスからVMware vCenter Serverと通信し、複数のESXiホストとの接続を確立した。その後、攻撃者はRDP経由でNERVE内の複数のアカウントをハイジャックし、ユーザーのブックマークやファイル共有に不正アクセスを行った。

さらに攻撃者は永続性を確保するため複数の仮想マシン(VM)を作成し、バックドア「BRICKSTORM」およびJSP(JavaServer Pages)のWebシェル「BEEFLUSH」を展開している。これらを使用すると、正規のネットワークトラフィックに紛れて秘密の通信チャネルを確立できるとされる。
○影響と対策