はじめに
セキュリティチームに対し、新たに発見されたCisco Adaptive Security Appliance (ASA) 5500-Xシリーズファイアウォールのゼロデイ脆弱性が攻撃者によって悪用されているとの警告が発令されました。この侵害により、攻撃者はRayInitiatorとLINE VIPERと呼ばれる高度なマルウェアを展開し、影響を受けるデバイスを完全に制御する可能性があります。
本日、GCHQの一部である国家サイバーセキュリティセンター(NCSC)は、防御者がこの脅威を特定し阻止するための詳細なガイダンスを発行しました。NCSCは最新の勧告で、詳細なマルウェア分析レポートを提供し、組織に対しネットワークを迅速に保護するよう強く促しています。
脆弱性の詳細とマルウェアの機能
Ciscoは、昨年のASA攻撃の背後にいたのと同じ脅威アクターが、5500-Xシリーズの脆弱性を悪用するための新しい技術を開発したことを確認しました。一度侵害されると、攻撃者は任意のコマンドを実行し、悪意のあるペイロードをインストールし、機密データを抽出することができます。Ciscoのセキュリティアップデートページには、悪用された穴を塞ぐための推奨パッチと設定変更が含まれています。
NCSCのRayInitiatorとLINE VIPERに関するレポートは、マルウェアがどのように動作するかを概説しています。RayInitiatorは、ファイアウォールの設定を変更し、隠された管理者アカウントを作成することで足がかりを確立します。その後、LINE VIPERがバックドアを提供し、一般的な検出ツールに引っかかることなく、リモートコマンド実行とデータ流出を可能にします。
組織への推奨事項
ネットワーク防御者は、完全な分析レポートと検出ルールをダウンロードして、侵害の兆候を特定することができます。影響を受ける組織には、以下の対応が推奨されています。
- Ciscoのセキュリティパッチを直ちに適用する。サポートされていない、またはサポート終了(EOL)のファームウェアを使い続けることはリスクを高めるため、最新のソフトウェアリリースへの更新が不可欠です。
- ファイアウォールログを綿密に監視する。異常な管理者ログイン、説明のつかない設定変更、または見慣れない外部ホストへの接続に注意してください。
- ネットワークセグメンテーションを実装する。重要なシステムが露出したファイアウォールから隔離されていることを確認し、被害の範囲を制限します。
- NCSCにインシデントを報告する。早期の報告は、脅威アクターの手法を追跡し、集団的な防御を改善するのに役立ちます。
サポート終了デバイスに関する警告
NCSCはまた、一部のASA 5500-Xモデルが2025年9月から2026年8月の間にサポート終了となることを強調しました。旧式のデバイスはセキュリティアップデートが不足していることが多く、攻撃者の主要な標的となります。これらのモデルをまだ使用している組織は、遅滞なく交換またはアップグレードの計画を立てるべきです。
NCSCの最高技術責任者であるオリー・ホワイトハウス氏は、その緊急性を強調しました。「組織がベンダーの検出と修復に関するベストプラクティスに従うことが重要です。サポート終了技術は重大なリスクをもたらします。脆弱性に対処し、回復力を強化するために、システムとデバイスは速やかに最新バージョンに移行されるべきです。」
脅威の深刻化
この警告は、昨年に発表された以前のCisco ASAマルウェア株であるLINE DANCERとLINE RUNNERを調査した共同勧告に基づいています。新しいRayInitiatorとLINE VIPERツールは、より高いステルス性と柔軟性を示しており、攻撃者の能力が深刻にエスカレートしていることを示しています。
Ciscoもまた、ASAの展開を保護し、継続的な攻撃から防御するための段階的なアドバイスを提供する検出ガイドをウェブサイトで公開しています。