記事本文(要約)
中国と関連のある脅威アクターが、Trimble Cityworksのゼロデイ脆弱性を利用して、米国の地方自治体を標的とした攻撃を行ったとCisco Talosが報告しています。脆弱性はCVE-2025-0994(CVSSスコア8.6)として追跡され、1月末に修正されましたが、これはMicrosoft IISウェブサーバーにおけるデシリアライズの欠陥で、リモートコード実行(RCE)を引き起こします。この脆弱性は、認証が必要ですが、CISAが既知の脆弱性カタログに追加し、産業制御システムに関する警告を発表しています。
Talosによると、中国のUAT-6382と追跡された脅威アクターが2025年1月以来このゼロデイを利用し、米国の地方政府の企業ネットワークを攻撃しています。攻撃には、リサーチ活動、ウェブシェルとマルウェアの展開、ユーティリティ管理システムへのアクセス試行が含まれます。さらに、AntSwordやChinatsoなどのウェブシェル、PowerShellを使ったバックドアの配置が確認されました。これらの攻撃の背後には、中国語を使用するグループが関与しているとTalosは示唆しています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 23 May 2025 09:30:00 +0000
Original URL: https://www.securityweek.com/cityworks-zero-day-exploited-by-chinese-hackers-in-us-local-government-attacks/
詳細な技術情報
CVE番号と脆弱性の概要
- CVE番号: c
- CVSSスコア: 8.6
- 脆弱性の仕組み: この脆弱性は、Microsoft Internet Information Services (IIS) ウェブサーバー上で動作するTrimble Cityworksにおける逆シリアル化の欠陥により、リモートコード実行(RCE)を可能にします。逆シリアル化の欠陥は、外部からの入力を安全に処理しないことが原因で、本来意図しないコードの実行を許してしまいます。
攻撃手法
- 認証の必要性: 攻撃の成功には事前に認証が必要で、攻撃者はまずシステムへの認証情報を取得します。
- 攻撃の流れ:
- 認証を行った後、逆シリアル化脆弱性を悪用してリモートコードを実行。
- Cobalt Strikeのビーコンやmalwareを展開、持続性を確保。
- AntSwordウェブシェル、Chinatso、Behinderなどのマルウェアを使用し、リモートアクセスとデータ抽出を実行。
潜在的な影響
- インフラへの影響: 市役所やユーティリティなどの重要インフラ組織への攻撃が可能であり、これにより公共サービスの運用が妨害される可能性があります。
- 情報漏洩: 攻撃者は特定のフォルダを列挙し、重要な情報を抽出する可能性があります。
推奨される対策
- パッチの適用: Trimbleがリリースした最新のパッチを適用することで、既知の脆弱性から保護します。
- 侵入検知とIoCの監視: Trimbleや他のセキュリティ機関から提供される侵入の指標(IoC)を監視し、不審な活動を早期に検知します。
- ネットワークのセグメンテーション: 特に重要インフラに関連するシステムに対しては、ネットワークをセグメント化して被害を局限化します。
- アクセス管理の強化: システムへのアクセス権を厳格に管理し、二要素認証を導入して不正アクセスを防止します。
- ログの定期分析: システムログを定期的に分析し、異常な活動がないか確認します。
結論
この脆弱性の悪用は、攻撃者が特に公共機関や重要インフラを標的にしていることを示しており、迅速な対策と監視が不可欠です。組織は、セキュリティアップデートの適用とともに、侵入検知システムの導入や権限管理の強化を進める必要があります。
