米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はこのほど、「Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers|CISA」において、米国連邦民間行政機関(FCEB:Federal Civilian Executive Branch)に対して正体不明の攻撃者がCVE-2023-26360の脆弱性を悪用してサイバー攻撃を行ったとしてサイバーセキュリティアドバイザリ(CSA: Cybersecurity Advisory)を発表した。

  • Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers|CISA

    Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers|CISA

悪用された脆弱性は「Adobe ColdFusion バージョン 2018 Update 15 (およびそれ以前)」、「Adobe ColdFusion バージョン 2021 Update 5 (およびそれ以前)」に存在する不適切なアクセス制御の不具合とされる。この脆弱性が悪用されると、ユーザーのコンテキストで任意のコードが実行される可能性がある。

FCEBの調査によると、2023年6月から7月にかけて環境内で少なくとも2台の公開サーバが侵害されたとしている。侵害の詳細については「(PDF) AA23-339A Threat Actors Exploit Adobe ColdFusion CVE-2023-26360 for Initial Access to Government Servers」からも確認できる。

CISAは組織のセキュリティ体制を改善するための緩和策として、以下を推奨している。

脆弱性と構成の管理

CVE-2023-26360の脆弱性の影響を受けるすべての製品をアップグレードする。また、デフォルトのパスワードや資格情報を削除し、最新のシングルサインオン(SSO: Single Sign On)技術を実装するなどデフォルトで安全な構成を構築する。

セグメントネットワーク

非武装地帯(DMZ: DeMilitarized Zone)など適切なネットワークセグメントを採用する。また、ファイアウォールやWebアプリケーションファイアウォール(WAF: Web Application Firewall)を使用し、ログを有効にする。従来の侵入検知システム(IDS: Intrusion Detection System)は暗号化と難読化により有効性が急激に低下している。最新の高度な防御ソリューションの導入を検討する。

アプリケーション防御

署名されたソフトウェア実行ポリシを強制する最新のオペレーティングシステムを使用する。信頼できる証明書のリストを維持し、不正なプログラムの使用と挿入を防止、検出する。

アカウント、権限、ワークステーションの管理

Webメール、仮想プライベートネットワーク(VPN: Virtual Private Network)、重要なシステムにアクセスするアカウントなど、可能な限りすべてのアカウントにフィッシング耐性のある多要素認証(MFA: Multi-Factor Authentication)を使用する。権限は最小の原則を適用する。ファイルシステムのアクセス制御を使用して、重要なフォルダ(C:\Windows\System32など)を保護する。NTLM認証ポリシ設定を制限する。

セキュリティ制御の検証

このアドバイザリで公開しているMITRE ATT&CKの戦術とテクニックにマッピングされている脅威の動作について、セキュリティプログラムの実行、テスト、検証の実施を推奨する。

CISAは、この事案について、脅威アクターは広範囲のネットワークを分析するための偵察活動を行ったものであり、データの窃取や横方向の移動に成功した証拠は確認されていないと分析している。