CISA、インシデント対応業務から得た教訓を共有 ノート

CISA、インシデント対応業務から得た教訓を共有

CISAは、米国の連邦機関で発生したサイバーインシデントに対応しました。このインシデントは、同機関のエンドポイント検出・応答ツールが不審なアクティビティを検知したことがきっかけでした。この機関は、2つのGeoServerにおけるCVE-2024-36401の悪用によって侵害されました。この脆弱性は、悪用される直前に公開されたもので、攻撃者はリモートコード実行を可能にしました。攻撃者は3週間にわたり検知されずに潜伏し、その間に他のサーバーへ横展開しました。このインシデントから得られた重要な教訓は、重大なセキュリティ上の欠陥を浮き彫りにしています。特に、公開されているシステムにおける脆弱性の迅速な修正が不可欠です。組織は、インシデント対応計画を定期的にテスト・更新し、第三者の支援を円滑に進められるようにする必要があります。エンドポイント検出・応答アラートの継続的なレビューは、タイムリーな脅威検知のために極めて重要です。包括的で一元化されたログの実装も、効果的なインシデント分析に不可欠です。攻撃者は、偵察、リソース開発、および攻撃の様々な段階で、公開されているツールを利用しました。永続化のためにWebシェル、cronジョブ、および有効なアカウントを使用しました。特権昇格の試みは、既知のLinuxエクスプロイトを用いて行われました。防御回避戦術には、間接的なコマンド実行やRingQのようなツールの使用が含まれていました。認証情報へのアクセスは、ブルートフォース攻撃やサービスアカウントの悪用によって達成されました。発見活動には、ネットワークスキャンや脆弱性評価ツールが関与しました。CISAは、同様の攻撃を防ぐために、侵害の兆候(Indicators of Compromise)と技術的な詳細を提供しています。
CdXz5zHNQW_HWczZ8ypOU.jpeg