Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

三菱電機への攻撃に使われた脆弱性

防衛に関係するインシデントであったので三菱電機側、あるいはその関係者としては詳細情報を一切公開したくない、そんな思惑があったのかと思いますが、海外記事に不正アクセスに使われたと推測される脆弱性(の一部)が書かれていました。

www.zdnet.com

 

トレンドマイクロは、攻撃に関する詳細を公開していません。

これらの2つのゼロデイは、昨年、野生で悪用された2番目と3番目のトレンドマイクロウイルス対策バグを示しています。

2019年の夏、中国の国営ハッカーは、日本の電子機器会社である三菱電機への攻撃に Trend Micro Office Scanゼロデイ(CVE-2019-18187)を使用しました。 

今週公開された2つのゼロデイが昨年のゼロデイに関連するのか、それとも同じハッカーグループ(Tickとして知られる)に悪用されているのかは不明です。

(ZDnet記事から引用)※機械翻訳 

 

キタきつねの所感

CVE-2019-18187は、去年10月にパッチが出ています。三菱電機不正アクセスに関する公式発表(第1報第2報)は2020年1月20日、2月12日の追加発表(第3報)まで、各社の報道により、三菱電機のアンチウィルスソフトは、ウィルスバスターCorp.が利用されていた事が判明していますが、公式にはウィルス対策ソフトが(少なくても不正アクセスの初期段階で)侵害を受けた部分について、詳細はおろか製品名すら発表していません

第3報になると、ウィルス対策ソフトの不審な動作を検知した後に、攻撃者がPowerShellを用いてファイルレスマルウェアを実行した辺りの経緯が書かれていますが、「初期侵入の防衛が失敗」した部分については、ほぼ書かれていません

※防衛関連企業として、意図的に詳細情報を発表しない事を選択したのだと思います。(その判断が悪いと言っている訳ではありません)

 

海外でも大きなニュースとして報じられた事もあろうかと思いますが、トレンドマイクロという海外でも使われるソフトであった事から、クローズにしていた事が「海外関係者」から出てきた、そんな風にこの記事を読みました。

 

その視点で見てみると、トレンドマイクロ社の以下の注意喚起(2019年10月28日)CVE-2019-18178は、攻撃事例がある事が明示されている事が気になります。

 

【注意喚起】ウイルスバスター コーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い

 

ウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp. )において、ディレクトリトラバーサル脆弱性(CVE-2019-18187)を悪用した攻撃事例が確認されております

現在サポート提供期間中の各バージョンについて、修正プログラム(Critical Patch)を準備させていただきましたので、早期の適用をお願いいたします。
ウイルスバスター Corp. 以外の製品では影響はありません

 

トレンドマイクロ2019/10/28注意喚起より引用)

 

とは言え、この脆弱性を突いた攻撃が成立するには前提条件があり、

■本脆弱性について
攻撃者は、本ディレクトリトラバーサル脆弱性(CVE-2019-18187)を利用することで、
アップロードした任意のzip形式のファイルをウイルスバスター Corp. サーバ上の特定のフォルダ配下に展開することが可能となり、
管理コンソールで使用しているWebサービスアカウントでの任意コード実行が可能になります。
(このアカウントの権限はWebプラットフォームに依存しており、限定的な権限しか持たない場合があります。)

ただし、攻撃者がこの脆弱性を利用するためには、事前に管理コンソールへのユーザ認証の情報を把握している事が必要となります。

トレンドマイクロ2019/10/28注意喚起より引用)

 

「管理者コンソールへのユーザ認証情報の把握」が必要と書かれています。

 

ZDNet記事では直接的にはこの脆弱性しか挙げていませんので、この事から推測されるのは、(三菱電機が)、初期攻撃の段階で「ウィルスバスターCorp.の管理者権限」を奪取されていたという事です。

 

(以下過分に想像が入ります)

中国が支援するハッカー集団(Tick)によるAPT攻撃が疑われていますので、三菱電機(中国拠点)の社内ネットワークへの侵入については、別な脆弱性が突かれたものと思いますが、ZDNet記事が書いた脆弱性(CVE-2019-18178)だけでは、ウィルス対策管理サーバに攻撃者が侵入出来る様には思えません

誤解を恐れずに言えば、管理者コンソールのIDとパスワードが脆弱であった可能性が高いのではないでしょうか。

 

更に興味深い点があります。ZDNet記事はトレンドマイクロが3月18日に発表したリリースノート(脆弱性)に紐づいて書かれた記事となっています。何故この記事に突然、以前(2018年10月)の脆弱性が登場したのでしょうか?

こちらも誤解を恐れずに言えば、ZDNet「今回出た0ディも三菱電機への攻撃で使われたのではないか?」という考えているという事なのだと思います。

 

トレンドマイクロ株式会社製の製品における複数の脆弱性について(CVE-2020-8467等):IPA 独立行政法人 情報処理推進機構

 

 

以下のリリースの中に0ディ脆弱性(CVE-2020-8457:CVSS9.1とCVE-2020-8468:CVSS8.0)が書かれているのですが、上記の意図があると考えると、非常に興味深い共通点があります。

今回の2つの0ディ(CVE-2020-8457CVE-2020-8468)(CVE-2019-18178)の共通点として、ウィルスバスターCorp.が対象範囲に入っている事、そして実際の攻撃に利用されたとトレンドマイクロが認知している事が挙げられます。

 

 

更に2つの0ディを追っていくと、

Apex One およびウイルスバスター コーポレートエディションの脆弱性 (CVE-2020-8467、CVE-2020-8468) に関する注意喚起

 

CVSS9.1の評価となった、CVE-2020-8467は、Apex OneとウィルスバスターCorp.管理サーマイグレーションツールに【リモートコード実行を可能にする脆弱性があり、CVSS9.0の評価となった、CVE-2020-8470は、Apex One とウィルスバスターCorp.エージェントコンポーネントダウンロード時の整合性チェックを回避する脆弱性がある事が書かれています。

 

f:id:foxcafelate:20200320161017p:plain

 

これらの脆弱点を複数組み合わせて、三菱電機へのAPT攻撃が行われた可能性について、推測の域を出ませんが、十分に可能性があると思います。

一般的な攻撃者(ハッカー)がこうした0ディを複数組み合わせた攻撃を行う事はほとんど考えられませんので、当初から報じられていた通り、国家の支援を受けたハッカー団による、一定期間以上の侵害活動の上での情報漏えい(APT攻撃)であったのかと思います。

しかし、この3つの0ディを組み合わせたとしても、「管理サーバへのアクセス権」を窃取までは難しいかと思います。

 

三菱電機の公式発表(第3報)には「サイバーセキュリティフレームワーク」の設計思想を取り入れていたとはあるのですが、

当社は、米国国立標準技術研究所(NIST)の規格である「サイバーセキュリティーフレームワーク※1」の考え方に則り、当社の事業内容に応じたサイバーセキュリティー対策を講じていましたが、今回の事象は従来の監視や検知をすり抜ける高度かつ巧妙な手法であったため、残念ながら攻撃を完全に防御することはできませんでした。

※1 重要インフラのサイバーセキュリティー対策を改善するためのフレームワーク

三菱電機公式発表(第3報)から引用)

 

多くの日本企業が未だにそうである様に、内部ネットワークに入られる事を前提としたセキュリティ対策の考えが不十分だった(※サイバーセキュリティフレームワークの「特定」「防御」「検知」「対応」「復旧」で考えると「検知」に問題があった)と考えられるのではないでしょうか。

 

 

余談です。トレンドマイクロの3月18日のパッチリリースには、CVE-2020-8457とCVE-2020-8468以外にも3つの脆弱性対応が書かれています。

3. CVE-2020-8470:CVSS 10(クリティカル)Trend Micro Apex OneおよびウイルスバスターCorp.サーバーには脆弱なサービスDLLファイルが含まれており、攻撃者がSYSTEMレベルの権限を持つサーバー上のファイルを削除する可能性があります。この脆弱性を悪用するために認証は必要ありません。
現時点では、トレンドマイクロはこの脆弱性の悪用の試みを確認していません。

4. CVE-2020-8598:CVSS 10(クリティカル)-Trend Micro Apex OneおよびウイルスバスターCorp.サーバーには脆弱なサービスDLLファイルが含まれており、リモート攻撃者がSYSTEMレベルの権限で影響を受けるインストールで任意のコードを実行できる可能性があります。この脆弱性を悪用するために認証は必要ありません。
現時点では、トレンドマイクロはこの脆弱性の悪用の試みを確認していません。

5. CVE-2020-8599:CVSS 10(クリティカル)Trend Micro Apex OneおよびウイルスバスターCorp.サーバーには脆弱なEXEファイルが含まれており、リモートの攻撃者が影響を受けるインストールの任意のパスに任意のデータを書き込み、ROOTログインをバイパスする可能性があります。この脆弱性を悪用するために認証は必要ありません。
現時点では、トレンドマイクロはこの脆弱性の悪用の試みを確認していません。

トレンドマイクロ3/18リリースノートから引用)

 

3月18日時点でトレンドマイクロ悪用を把握してないと明示していますので、三菱電機不正アクセス事件で用いられた脆弱性ではないと思われますが、ログが消去されていて事件調査(被害範囲特定)に影響を与えたと言われていますので、同じ様な脆弱性を突かれたか、または攻撃者の消去技術が優れていたのだろうと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 ハッカー集団のイラスト

 

更新履歴

  • 2020年3月20日 PM(予約投稿)