SUPERNOVA Webshellか？　Pulse Connect Secureの脆弱性を悪用してWebshellが設置されるインシデントが複数確認される

2021年6月30日
コラム
Pulse Connect Secure, Sunburst, SUPERNOVA, Webshell
0件

　Pulse Connect Secureの脆弱性(CVE-2021-22893)を悪用してWebshellが設置されるインシデントが日本国内で複数確認されているとしてJPCERT/CC分析センターが修正バージョンを至急適用するようにツイッターで呼びかけています。

SolarWindsサプライチェーン攻撃で明るみになったが‥‥

　ソフトウェア型セキュア・アクセス・ソリューションを提供しているPulse Secure社(米国カリフォルニア州)のモバイルVPN、Pulse Connect Secure(PSC)アプライアンスの脆弱性については、今年4月に「Pulse SecureVPNに新たな脆弱性　在宅勤務者を装ってネットワークに侵入か」の記事でお伝えした通り親会社のivantiが日本語のアドバイザリーを公開して回避策を案内しているほか侵害を確認するツールの提供を行っています。

　Pulse Connect Secureは、社外PCやモバイルデバイスから社内データベース等へのVPNアクセスを可能にする製品です。コロナ禍の在宅勤務を支えるリモートアクセスソリューションとして日本を含むアジア全域で広く利用されている実態があります。脆弱性が悪用されてWebshellがひとたびサーバー内に設置されてしまうと、バックドアとして機能しリモートアクセスによってコンピューターがサイバー犯罪者の手に落ちてしまいます。これまでのPulse Connect Secureの脆弱性を狙った攻撃では、 .NET ウェブシェルであるSUPERNOVAが確認されていることからJPCERT/CCが国内で複数確認されていると明らかにしたWebshellもSUPERNOVA Webshellの可能性があります。

Pulse Connect Secureの脆弱性(CVE-2021-22893)を悪用してWebshellを設置されたインシデントを国内で複数確認しています。まだ対策を行っていない場合は、至急修正バージョンの適用をご検討ください。 https://t.co/15KtUi1PV9
— Analysis Center (@jpcert_ac) June 28, 2021

　SUPERNOVAは、昨年12月にアメリカのサイバーセキュリティ企業、ファイア・アイに対するサイバー攻撃によって発覚したSolarWinds製品「Orion」へのサプライチェーン攻撃で使われていたマルウェア、SUNBURSTの解析の過程で明らかになった経緯があります。しかし、サイバーセキュリティの専門家らによるとSUPERNOVAはSolarWinds製品へのサプライチェーン攻撃によって使われたマルウェアではないということです。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も今年1月のマルウェア分析レポートで「SUPERNOVAはサプライチェーン攻撃としてOrionプラットフォームに組み込まれていません」「SUPERNOVAはSolarWindsサプライチェーン攻撃の一部ではありません」と明記しています。

「SPIRAL」という脅威グループにリンクか？

　ITインフラを管理するソフトウェアであるSolarWinds製品へのサプライチェーン攻撃について、アメリカ政府はロシアの関与を指摘しており、今年1月に米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)、米国家安全保障局(NSA)などが出した共同声明では、ロシア起源の標的型攻撃のアクターに責任があると表明、その目的は情報収集との認識を示しました。一方、SUPERNOVAについては中国との関係が指摘される「SPIRAL」という脅威グループにリンクしているとの見方がサイバーセキュリティの専門家などによってなされています。つまりロシアを背景とするSUNBURSTと中国を背景とするSUPERNOVAがそれぞれ活動を展開していた、とみられているようです。

　Pulse Connect Secureの脆弱性については、CVE-2019-11510とCVE-2019-11539という2つの脆弱性に加え、今年4月にCVE-2021-22893が明らかになっています。今回、JPCERT/CCが修正バージョンの適用を呼びかけたのはCVE-2021-22893の脆弱性に関するものです。この脆弱性は、ファイア・アイのインシデント対応部門、マンディアントが今年初めに世界の防衛、政府、金融機関への複数の侵入について調査を実施し、侵入者の初期の活動の証拠について追跡したところ判明したものです。攻撃者はPulse Connect Secureを介して標的のネットワークに接続、SUPERNOVAをインストールしてネットワークの資格情報等を収集します。

■出典・参考
https://unit42.paloaltonetworks.jp/solarstorm-supernova/

https://www.guidepointsecurity.com/supernova-solarwinds-net-webshell-analysis/

https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html https://us-cert.cisa.gov/ncas/analysis-reports/ar21-112a

https://www.cisa.gov/news/2021/01/05/joint-statement-federal-bureau-investigation-fbi-cybersecurity-and-infrastructure

https://www.secureworks.com/blog/supernova-web-shell-deployment-linked-to-spiral-threat-group