MITRE侵害の詳細記事が公表されています。
初期アクセスはIvanti Connect SecureというVPN装置の侵害です。1月初旬にこの脆弱性が公表されましたが、MITREは2023年12月31日から攻撃が始まっていることを公表しています。ゼロデイ攻撃です。
この脆弱性は認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)が対象で、脆弱性が組み合わされて悪用されると、遠隔の第三者が認証不要で任意のコマンドを実行できます。
侵害後、攻撃者はVPNセッションをハイジャックしVMware環境に横展開し、永続性を確立した後情報流出させています。
MITREは「VMware インフラストラクチャへの水平移動は検出されませんでした。当時、私たちは脆弱性を軽減するために必要な措置をすべて講じたと信じていましたが、これらの措置は明らかに不十分でした」と発表していることから、仮想環境への攻撃は想定していなかったと考えられます。
仮想環境へのセキュリティ導入は、複雑になる背景があります。1台の物理サーバに複数のOSを稼働させるためそれぞれのOSにセキュリティ対策が必要となります。
おそらく内部ネットワークの検知技術や対策は十分だったと思いますが、仮想環境までセキュリティ対策を十分にしていなかったため、攻撃者に狙われたと考えられます。
MITREでも侵害を許してしまうゼロデイ攻撃の怖さと、攻撃者がいかに有利な環境にあるのか考えさせられる記事です。
