VPN製品「Pulse Connect Secure」への攻撃に中国が関与している疑いがあるとの警告

アメリカの国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)が、Pulse Secureが提供するビジネス向けVPN製品「Pulse Connect Secure」の脆弱性を利用し、複数のハッカーグループがアメリカ政府系機関や重要インフラストラクチャ事業体に攻撃を仕掛けたと警告を発しました。セキュリティ企業の発表によると、中国政府がハッカーグループのうち少なくとも1つに関与している疑いがあります。

Exploitation of Pulse Connect Secure Vulnerabilities | CISA
https://us-cert.cisa.gov/ncas/alerts/aa21-110a

Pulse Connect Secure Security Update - Pulse Secure Blog
https://blog.pulsesecure.net/pulse-connect-secure-security-update/

Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day | FireEye Inc
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html

China-linked hackers used VPN flaw to target U.S. defense industry -researchers | Reuters
https://www.reuters.com/technology/china-linked-hackers-used-pulse-secure-flaw-target-us-defense-industry-2021-04-20/

CISAが新たに発表したのは、Pulse Connect Secureの脆弱性に関する警告です。この警告は、ハッカーグループが、2019～20年に発見された「CVE-2019-11510」「CVE-2020-8260」「CVE-2020-8243」や、新たに発見された認証をバイパスしてリモートから任意のコードを実行できるようになるという「CVE-2021-22893」などの脆弱性を突いて攻撃を仕掛けたことが確認されたことで発されたもの。新たに発見されたCVE-2021-22893は、共通脆弱性評価システム(CVSS)のスコアにおいて、最も致命的とされる「10」とレーティングされています。なお、2019年に発見されたCVE-2019-11510は、CISAやアメリカ国家安全保障局(NSA)、連邦捜査局(FBI)が連名で「ロシア対外情報庁がアメリカや同盟国への攻撃に悪用している」と発表した脆弱性でした。

ロシア対外情報庁によるアメリカや同盟国への攻撃では5つの脆弱性が悪用されている - GIGAZINE

一連の脆弱性について、既知のCVE-2019-11510、CVE-2020-8260、CVE-2020-8243は修正パッチがリリースされていますが、新たに発見されたCVE-2021-22893については2021年5月上旬に修正パッチがリリースされる予定。この修正パッチには、CISAやセキュリティ企業のFireEyeなどが協力しています。

一方、修正パッチ作成に協力するFireEyeは「中国政府の関与が疑われる」と公式に発表しています。複数のハッカーグループが一連の脆弱性を突いて攻撃を行ったことが確認されていますが、うち1つが中国政府の関与が長年疑われているハッカーグループ「APT5」と強い類似性がある上に、中国政府のために攻撃を行っているという限定的な証拠が発見されたとのこと。

アメリカにある中国大使館の広報担当官は、「中国はあらゆる形態のサイバー攻撃に断固として反対し、取り締まっています」と述べ、FireEyeの報告を「無責任かつ悪意に満ちたもの」と非難しました。

今回の脆弱性を突かれた場合はアプライアンス上にウェブシェルが配置されて永続的にシステムが侵害される可能性があるため、CISAは全国内組織に対し、Pulse Secureが対策のために配布している整合性チェックツール「Pulse Secure Connect Integrity Tool」を実行し、アップデートを行うように求めています。

Pulse Secureは「限られた数の顧客がPulse Connect Secureでハッキングの被害を受けているとわかりました」と述べ、あくまで「被害を受けた企業は限定的である」という表現を用いています。