中国の脅威グループ、シスコのスイッチにマルウェアを仕込む

画像提供：マイナビニュース

The Hacker Newsは7月2日(現地時間)、「Chinese Hackers Exploiting Cisco Switches Zero-Day to Deliver Malware」において、中国の国家支援を受けているとみられる脅威グループ「Velvet Ant」がシスコシステムズのネットワークOS「Cisco NX-OS」に存在するゼロデイの脆弱性を悪用してデバイスにマルウェアを展開したと報じた。これはセキュリティ企業「Sygnia」が2024年7月1日(イスラエル時間)に公開した調査報告から明らかになった(参考：「Cisco NX-OS Command Injection Vulnerability CVE-2024-20399: Insights and Defense Strategies」)。

○Cisco NX-OSが抱えるゼロデイの脆弱性の概要

脆弱性に関する情報は次のページにまとまっている。

Cisco NX-OS Software CLI Command Injection Vulnerability

脆弱性の情報(CVE)は次のとおり。

CVE-2024-20399 - OSコマンドインジェクションの脆弱性。管理者として認証された攻撃者により、CLIから任意のOSコマンドを実行される可能性がある

○脆弱性が存在する製品

脆弱性が存在するとされる製品は次のとおり。

MDS 9000シリーズマルチレイヤースイッチ
Nexus 3000シリーズスイッチ
Nexus 5500プラットフォームスイッチ
Nexus 5600プラットフォームスイッチ
Nexus 6000シリーズスイッチ
Nexus 7000シリーズスイッチ
スタンドアロンNX-OSモードのNexus 9000シリーズスイッチ

○影響と対策

Sygniaの報告によると、組織の内部ネットワークに侵入したVelvet Antは対象の脆弱性を悪用し、デバイスのオペレーティングシステム上で悪意のあるコードを実行したという。その後、侵害したデバイス上で未知のマルウェアを展開し、デバイスの遠隔操作を可能にしたとされる。

Sygniaは脆弱性の悪用には高いハードルが複数存在し、侵害は容易ではないと説明している。しかしながら、脅威グループは悪用に成功しており、それを突破するだけの能力があることを示している。企業にはネットワークセキュリティのベストプラクティスを実践し、攻撃の初期経路となる内部ネットワークへの侵入を検出および阻止することが望まれている。

シスコは脆弱性の影響確認ツールとして「Cisco Software Checker」を公開している。脆弱性の影響を受けるデバイスを運用している管理者は、指示に従い必要な情報を入力することでセキュリティアドバイザリおよび修正リリースを確認することができる。修正リリースが確認できる場合は、ベンダーの指示に従いアップデートすることが推奨される。
（後藤大地）