米国のサイバーセキュリティ機関であるCISA(Cybersecurity and Infrastructure Security Agency)は、攻撃者がGeoServerのリモートコード実行(RCE)脆弱性を悪用し、米連邦政府の民間行政機関に侵入したことを明らかにしました。このインシデントは、エンドポイント検出アラートが発報された後に対応が開始されました。
3週間にわたり、サイバー侵入者はこの脆弱性を利用して初期アクセスを獲得し、ラテラルムーブメントを行い、複数のサーバーにわたって永続性を確立しました。CISAの勧告は、タイムリーなパッチ適用、テスト済みの対応計画、および継続的なアラートレビューの重要性を強調しています。
**侵害の経緯**
2024年7月11日、攻撃者はGeoServerの「evalインジェクション」の脆弱性であるCVE-2024-36401を悪用し、公開サーバー上でコマンドを実行しました。この脆弱性は11日前に開示されていたにもかかわらず、当該機関はパッチを適用していませんでした。侵入者はこの脆弱性を利用してオープンソースツールをダウンロードし、ウェブシェルをインストールし、永続性のためにcronジョブを作成しました。
11日後、同じ脆弱性が2番目のGeoServerインスタンスに対して悪用され、侵害の範囲がさらに拡大しました。両方のGeoServerを侵害した後、脅威アクターはウェブサーバーに移動し、そこから内部のSQLサーバーに侵入しました。彼らはSQLサーバー上で`xp_cmdshell`を悪用し、リモートコード実行を獲得しました。
3週間の間、彼らの活動は検出されませんでした。これは、一部の公開システムにエンドポイント保護が欠けており、EDRアラートが継続的にレビューされていなかったためです。侵害が明らかになったのは、7月31日にEDRアラートが疑わしいファイル転送を検知し、これにより当該機関のセキュリティ運用センターがSQLサーバーを隔離し、CISAに連絡したときでした。
**CISAが特定した3つの主要な欠点**
CISAは、侵害が長期化した原因として、以下の3つの主要な欠点を特定しました。
1. **タイムリーなパッチ適用不足:** 重要なGeoServerの脆弱性は、悪用される数週間前に修正されていましたが、パッチは適用されていませんでした。迅速なパッチ適用があれば、初期アクセスを防ぐことができた可能性があります。
2. **未訓練の対応計画:** 当該機関のインシデント対応計画はテストされておらず、外部パートナーとの連携やセキュリティツールへのアクセスを許可する手順が含まれていませんでした。この遅延がCISAの迅速な行動を妨げました。
3. **不完全なアラート監視:** EDRアラートは継続的に監視されておらず、一部の公開サーバーにはエンドポイント保護が欠けていました。早期検出のためには、アラートの継続的なレビューとエンドポイントセキュリティの完全なカバレッジが不可欠です。
これらの調査結果は、テクノロジーだけでは組織を保護できないことを浮き彫りにしています。リスクを軽減し、インシデントに備え、効果的に対応するためには、プロセス、計画、そして人材が連携して機能する必要があります。
**CISAの推奨事項**
CISAは、すべての連邦機関および重要インフラ組織に対し、以下の3つの主要な行動を推奨しています。
1. **侵害の防止:** 公開システムにおける既知の悪用された脆弱性に対する迅速なパッチ適用を優先することで、侵害を防止します。
2. **インシデントへの備え:** 詳細なインシデント対応計画を維持し、訓練を行います。これには、第三者による支援や主要なリソースへのアクセス手順を含めます。
3. **検出の強化:** 包括的なロギングを実装し、ログを帯域外の場所に一元化します。これにより、インシデント発生時にもログが損なわれずに残り、タイムリーな脅威ハンティングをサポートします。
CISAの勧告には、攻撃者が使用した詳細なTTP(戦術、技術、手順)と、STIXおよびJSON形式でダウンロード可能な侵害指標(IOC)も含まれています。組織はこれらのIOCをレビューし、検出ルールを調整する必要があります。この事例から学ぶことで、各機関は同様の悪用に対する防御を強化し、全体的なセキュリティ体制を改善することができます。
元記事: [https://gbhackers.com/cisa-reveals-hackers-breached-u-s-federal-agency-via-geoserver-rce-flaw/](https://gbhackers.com/cisa-reveals-hackers-breached-u-s-federal-agency-via-geoserver-rce-flaw/)