概要

Ciscoは、中国に関連するハッカー集団が同社のセキュリティ製品の不安全な設定を悪用し、標的のネットワークにバックドアを仕込んでいることを明らかにしました。CiscoがUAT-9686として追跡しているこのハッカー集団は、Ciscoの電子メールおよびウェブセキュリティデバイス、仮想プラットフォームを動かすAsyncOSソフトウェアの脆弱性を悪用しています。

攻撃の詳細

ハッカーは、AsyncOSの「スパム隔離」機能がインターネット経由でアクセス可能に設定されているという、安全ではない設定を利用していました。この設定はデフォルトではありませんが、手動で変更したユーザーがデバイスへの侵入リスクに晒されていました。Ciscoによると、この攻撃により、攻撃者は影響を受けるアプライアンスの基盤となるオペレーティングシステム上でroot権限で任意のコマンドを実行できます。

被害者ネットワークへの侵入後、中国関連のハッカーはAquaShellと呼ばれるPython製のバックドアを設置し、そこからコマンドを実行していました。Ciscoは、このキャンペーンで使用された他のツールも特定しており、これにはハッカーが被害者マシンへの接続を維持するために使用する2つのトンネリングツールと、ハッカーの活動の証拠を消去するAquaPurgeというログクリアリングツールが含まれます。

このキャンペーンは少なくとも11月下旬から継続しており、Ciscoは12月10日に発見しました。Ciscoは、ハッカーが使用したツールが他の注目すべき中国関連グループの攻撃にも登場していることから、この作戦をUAT-9686に帰属させています。また、AquaShellのようなカスタムメイドのWebベースのインプラントを使用する戦術は、「高度に洗練された中国系APT（Advanced Persistent Threat）によってますます採用されている」とCiscoは述べています。

Ciscoからの警告と推奨事項

Ciscoは、顧客に対し、影響を受ける製品の設定を直ちに再構成するよう強く要請しています。この問題は、不適切な設定が重大なセキュリティリスクを引き起こす可能性を浮き彫りにしています。

元記事: https://www.cybersecuritydive.com/news/cisco-china-cyberattacks-asyncos-configuration/808258/