Palo Alto Networksの脅威インテリジェンス調査チームのUnit 42は、11月8日に公開されたレポート「ManageEngine ADSelfService Plusに対する標的型攻撃キャンペーンで防衛関連企業など機密情報を扱う産業分野が被害を受けたことが判明:中国の攻撃者グループが関与か」において、ManageEngine ADSelfService Plusに発見された脆弱性を悪用した標的型サイバー攻撃のキャンペーンが進行中として警告している。防衛やエネルギーなどを扱う重要なセクターにおいて、世界中で少なくとも9つの組織がすでに侵害を受けているという。
ManageEngine ADSelfService Plusは、Windows Active Directoryにおいてアカウントロック解除やパスワードリセットなどの運用をセルフサービス化するWebベースのソフトウェアである。このManageEngine ADSelfService Plusには「CVE-2021-40539」として追跡されている認証バイパスの脆弱性が報告されており、2021年9月16日には米国のFBIとCISA、CGCYBERによって警告を促す共同セキュリティアドバイザリ「Alert (AA21-259A)」がリリースされている。
CVE-2021-40539はManageEngine ADSelfService PlusのREST APIの実装に存在した脆弱性で、悪意をもって加工されたリクエストを処理することによって、攻撃者によって認証をバイパスされてリモートから任意のコードを実行される危険性がある。CVSS v3のベーススコアは9.8で、深刻度は最も高い「Critical(緊急)」に分類されている。
Unit 42のレポートによると、2021年9月17日の時点で米国内のリースインフラを利用してインターネット上の数百の脆弱な組織がスキャンされており、その後9月22日から10月上旬にかけて攻撃が試みられたという。この期間中の攻撃で、テクノロジーや防衛、医療、エネルギー、教育などのセクターを含む少なくとも9つのグローバル企業が標的になったとのことだ。
CVE-2021-40539によって侵入に成功した攻撃者は、続いて「Godzilla Webshell」と呼ばれる攻撃ツールで侵害を永続化し、さらにバックドアツール「NGLite」の改変版や「KdcSponge」と呼ばれる資格情報収集ツールなど、複数のツールを用いて攻撃や機密情報の収集を行うという。レポートでは、これらの攻撃の手口や使用しているツールが、中国の脅威グループ 「Emissary Panda」と類似点があると指摘している。
Unit 42のレポートでは、具体的な攻撃の手順や侵入の痕跡などが詳しく解説されている。なお、前述の共同セキュリティアドバイザリにも記述されているように、CVE-2021-40539については2021年9月6日に開発元のZohoより修正版である「ManageEngine ADSelfService Plus ビルド6114」をリリースされており、影響を受けるバージョンを利用しているユーザーは早急にアップデートを適用することが推奨されている。