米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月24日(現地時間)、「CISA Releases Five Pulse Secure-Related MARs」において、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がVPN製品「Pulse Connect Secure」へのサイバー攻撃に関する5つのマルウェア分析レポート(MAR)を公開したと伝えた。
マルウェア分析レポートは、既知のマルウェアに関して、攻撃者の戦術や使用する技術、攻撃手順(TTP)、侵入の痕跡(IOC)などの分析結果をまとめたもので、サイバー攻撃の被害を軽減するため公開されている。
Pulse Connect Secureについては、2021年4月に悪用が可能な複数の脆弱性が報告されており、CISAでは同4月20日にセキュリティアラート「Alert (AA21-110A): Exploitation of Pulse Connect Secure Vulnerabilities」を発行して注意を促している。
この脆弱性を悪用されると、攻撃者によって対象のPulse Connect SecureアプライアンスにWebシェルが配置され、長期にわたって被害を受ける危険性がある。Webシェルでは、認証のバイパスや多要素認証のバイパス、パスワードロギング、パッチ適用の永続化などといったさまざまな機能が利用できることが確認されているという。
CISAでは、AA21-110Aの発行後に継続的な対応の一貫として複数のマルウェア分析レポートを公開してきた。今回追加されたのは次に挙げる5つのレポートになる。
- MAR-10336935-2.v1: Pulse Secure Connect
- MAR-10333243-3.v1: Pulse Secure Connect
- MAR-10338401-2.v1: Pulse Secure Connect
- MAR-10334057-3.v1: Pulse Secure Connect
- MAR-10339606-1.v1: Pulse Secure Connect
これまでの公開された関連するマルウェア分析レポートの全リストは、前述のAA21-110Aに掲載されている。
CISAでは、AA21-110Aやこれらのマルウェア分析レポートを参照して、使用しているPulse Connect Secure製品に対して侵害の痕跡がないか確認することを推奨している。