JPCERT/CC、バラクーダ製品の脆弱性を悪用する攻撃への確認を要請

ZDNET Japan Staff

2023-09-05 18:53

 JPCERTコーディネーションセンター(JPCERT/CC)は9月5日、Barracuda Networksのメールセキュリティアプライアンス製品「Barracuda Email Security Gateway」で報告されたリモートコマンドインジェクションの脆弱(ぜいじゃく)性(CVE-2023-2868)に対処したユーザーの一部においてサイバー攻撃活動が継続している恐れがあるとして、追加の侵害調査などを実施するよう呼びかけた。

 この脆弱性は、Barracuda Email Security Gatewayのバージョン5.1.3.001から9.2.0.006までに存在し、メールに添付される「.tar」ファイル(テープアーカイブ)を適切に処理できない不具合に起因する。攻撃者がこの脆弱性を悪用した場合、Barracuda Email Security Gatewayの権限でリモートからシステムコマンドを実行できてしまう。Barracuda Networksは、米国時間5月20日にリリースした修正プログラム「BNSF-36456」で、脆弱性に対処した。

 この脆弱性をめぐっては、Barracuda Networksが修正プログラムを公開する以前の少なくとも2022年10月頃から脆弱性を悪用するサイバー攻撃の発生が指摘された。攻撃については、2023年5月以降にBarracuda NetworksとMandiantが分析情報を公開した。Barracuda Networksによれば、攻撃による侵害を受けた製品の割合は当該製品全体の5%だったとし、侵害を受けたユーザーにアプライアンスの交換を呼びかけていた。

 しかしながら、米連邦捜査局(FBI)が8月23日に、脆弱性に対処したユーザーの一部で引き続きサイバー攻撃を受けている恐れがあるとして、追加の調査を行うよう注意喚起した。Mandiantも同29日に追加のレポートを公開し、一部ユーザーが引き続きサイバー攻撃グループ「UNC4841」による侵害を受けている可能性を指摘した。

 こうした経緯を踏まえJPCERT/CCは、現在までの対策方法に加えて以下の対応を行うことを製品のユーザー組織に推奨している。

当該製品から発生する外部への通信の調査

 当該脆弱性を悪用した後の侵害活動で観測された不正な通信先のIPアドレスやドメインの情報が複数公表されており、これらを参考に当該製品から外部システムへの通信を経路上のファイアウォールの通信ログなどを調査し、これらの不正な通信先へのログがないか確認する。

当該製品が稼働するネットワーク内の調査

 当該製品からほかのシステムに向けたポートの探索やスキャンなどが行われるケースが確認されている。当該製品が稼働するネットワーク内のほかのシステムにおいて、当該製品からの不審な通信が送信されていないかをアクセスログなどから確認する。

当該製品内に保存されていた情報の調査および対処の検討

 当該製品内に保存されていたメッセージデータの内容から、ユーザーアカウントなどの認証情報が窃取され、組織の「Outlook Web Access」(OWA)やVPN、プロキシーサーバー、「Windows」サーバーなどへ認証が試行されたケースが確認されている。既に侵害を受けてたり、侵害が疑われたりする場合は、当該製品内に保存されていた資格情報などを点検し、アカウントのパスワードの変更を検討すること。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  2. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  3. セキュリティ

    マンガで解説、「WAF」活用が脆弱性への応急処置に効果的である理由とは?

  4. セキュリティ

    クラウドネイティブ開発の要”API”--調査に見る「懸念されるリスク」と「セキュリティ対応策」

  5. セキュリティ

    5分で学ぶCIEMの基礎--なぜ今CIEM(クラウドインフラストラクチャ権限管理)が必要なのか?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]