米国 CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減
こんにちは、丸山満彦です。
CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減についてのアラートを公表していますね。。。
ちなみにこれもロシアのメディア庁のウェブページに乗っていますね。意外と懐深いなぁ...(^^)
● CISA
| MITIGATING THREATS POSED BY RUSSIAN STATE-SPONSORED CYBER ACTORS’ EXPLOITATION OF DEFAULT MULTIFACTOR AUTHENTICATION PROTOCOL AND "PRINTNIGHTMARE" VULNERABILITY | ロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減 |
| All Organizations Should Take Action to Enable, Enforce, and Properly Configure MFA as well as Prioritize Patching of Known Exploited Vulnerabilities | すべての組織は、MFAを有効化し、実施し、適切に設定するための行動を起こすとともに、既知の悪用される脆弱性へのパッチを優先的に適用する必要があります。 |
| WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) issued a joint cybersecurity advisory today with technical details, mitigations, and resources regarding previously demonstrated ability of Russian state-sponsored cyber actors to gain network access through exploitation of default multifactor authentication (MFA) protocols and a known vulnerability in Windows Print Spooler, “PrintNightmare.” | ワシントン - サイバーセキュリティおよびインフラストラクチャ・セキュリティ局(CISA)と連邦捜査局(FBI)は本日、ロシアの国家に支援されたサイバーアクターがデフォルトの多要素認証(MFA)プロトコルとWindowsプリントスプーラーの既知の脆弱性(PrintNightmare)を悪用してネットワークアクセスを取得する能力を以前実証したことについて、技術的詳細、緩和策、リソースを含む共同のサイバーセキュリティ勧告を発表しました。 |
| As early as May 2021, the Russian state-sponsored cyber actors took advantage of a misconfigured account set to default MFA protocols at a non-governmental organization, allowing them to enroll a new device for MFA and access the victim’s network. The actors then exploited a critical vulnerability “PrintNightmare” (CVE-2021-34527) to run arbitrary code with system privileges, and then were able to access cloud and email accounts for document exfiltration. | 早ければ2021年5月、ロシアの国家支援型サイバーアクターは、非政府組織でデフォルトのMFAプロトコルに設定されたアカウントの誤設定を利用し、新しいデバイスをMFAに登録し、被害者のネットワークにアクセスできるようにしました。そして、サイバー攻撃者は、重要な脆弱性「PrintNightmare」(CVE-2021-34527)を悪用してシステム特権で任意のコードを実行し、クラウドやメールアカウントにアクセスして文書を流出させることができていました。 |
| This advisory, titled “Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and ‘PrintNightmare’ Vulnerability,” provides observed tactics, techniques, and procedures (TTPs); indicators of compromise (IOCs); and mitigation recommendations. The FBI and CISA urge all organizations to take immediate action to protect against this malicious activity and apply recommended mitigations such as: | この勧告は、「ロシアの国家に支援されたサイバーアクターが、デフォルトの多要素認証プロトコルと『PrintNightmare』脆弱性を悪用してネットワークにアクセス」と題し、観察された戦術、技術、手順(TTP)、侵害の指標(IOC)、および緩和策を提示しています。FBIとCISAは、すべての組織がこの悪質な活動から保護するために直ちに行動を起こし、以下のような推奨される緩和策を適用するよう求めています。 |
| ・Enforce MFA for all users, without exception, and ensure it is properly configured to protect against “fail open” and re-enrollment scenarios | ・すべてのユーザーに対して例外なくMFAを適用し、「フェイルオープン」や再登録のシナリオから保護するように適切に設定する。 |
| ・Implement time-out and lock-out features | ・タイムアウト機能、ロックアウト機能の導入・ |
| ・Disable inactive accounts uniformly in active directory, MFA, etc. | ・アクティブディレクトリやMFAなどで、非アクティブなアカウントを一律に無効化する。 |
| ・Update software, prioritizing known exploited vulnerabilities | ・既知の脆弱性を利用したソフトウェアの優先的なアップデート |
| ・Monitor network logs continuously for suspicious activity | ・ネットワークログを継続的に監視し、不審な動きがないかを確認 |
| ・Implement security alerting policies | ・セキュリティアラートポリシーの導入 |
| “At CISA, we are great believers in multifactor authentication. It remains one of the most effective measures individuals and organizations can take to reduce their risk to malicious cyber activity. This advisory demonstrates the imperative that organizations configure MFA properly to maximize effectiveness,” said CISA Director Jen Easterly. “Now, more than ever, organizations must put their shields up to protect against cyber intrusions, which means applying the mitigations in this advisory including enforcing MFA for all users without exception, patching known exploited vulnerabilities, and ensuring MFA is implemented securely.” | 「CISAでは、多要素認証に大きな信頼を寄せています。多要素認証は、悪意のあるサイバー活動に対するリスクを軽減するために、個人と組織が取ることのできる最も効果的な対策の1つであることに変わりはありません。今回の勧告は、組織がMFAを適切に設定し、その効果を最大限に高めることが不可欠であることを示しています」と、CISAディレクターのJen Easterlyは述べています。「これは、例外なくすべてのユーザーにMFAを適用し、既知の脆弱性にパッチを適用し、MFAを安全に実装することを含む、本勧告にある緩和策を適用することを意味します。 |
| “The FBI, alongside our federal and international partners, will continue to pursue cyber actors who engage in this type of targeted malicious activity of unauthorized access and exfiltration of data,” said FBI Cyber Division Assistant Director Bryan Vorndran. “We encourage organizations who may have experienced this type of exploitation to report to the FBI and/or CISA and provide us with additional information so we can continue to deter and disrupt nation-state actors. The FBI will not tolerate this type of criminal activity and we will use all of the tools in our toolbelt to combat this threat.” | FBIは、連邦政府や国際的なパートナーとともに、このような不正アクセスやデータの流出という標的型悪質行為を行うサイバー行為者を引き続き追求していきます。とFBIサイバー部門アシスタントディレクターのBryan Vorndranは述べています。このような悪用に遭った可能性のある組織には、FBIやCISAに報告し、追加情報を提供してもらうことで、引き続き国家的行為者を抑止し、混乱させることができる」と述べています。FBIはこのような犯罪行為を許さず、あらゆる手段を使ってこの脅威と戦っていく」と述べています。 |
| CISA has updated the Shields Up webpage to include new services and resources, recommendations for corporate leaders and chief executive officers, and actions to protect critical assets. Additionally, CISA has created a new Shields Up Technical Guidance webpage that details other malicious cyber activity affecting Ukraine. The webpage includes technical resources from partners to assist organizations against these threats. | CISAは、新しいサービスやリソース、企業のリーダーや最高経営責任者への提言、重要な資産を守るための行動などを盛り込み、Shields Upのウェブページを更新しました。さらにCISAは、ウクライナに影響を及ぼすその他の悪質なサイバー活動を詳述した「シールドアップ技術ガイダンス」ウェブページを新たに作成しました。このウェブページには、これらの脅威に対して組織を支援するためのパートナーからの技術的リソースが含まれています。 |
| To report a cyber incident, organizations should contact CISA at report@cisa.gov or call CISA’s 24/7 CISA Central Operations Center at (888) 282-0870 and/or to the FBI via your local FBI field office or the FBI’s 24/7 CyWatch at (855) 292-3937 or CyWatch@fbi.gov. | サイバーインシデントを報告するには、組織はCISA(report@cisa.gov)に連絡するか、CISAの24/7 CISA中央オペレーションセンター(888)282-0870に電話をかけるか、または地元のFBI支局もしくはFBIの24/7 CyWatch(855)292-3937 または CyWatch@fbi.gov を通じてFBIに連絡する必要があります。 |
NISTの脆弱性データベース
● NIST - NATIONAL VULNERABILITY DATABASE
・2021.07.02 CVE-2021-34527 Detail
PrintNightmare...
● Microsoft
・2021.07.01 Windows 印刷スプーラーのリモートでコードが実行される脆弱性 CVE-2021-34527
● Microsoft Security Response Center
・2021.07.08 Clarified Guidance for CVE-2021-34527 Windows Print Spooler Vulnerability
● MITRE
・2021.06.09 CVE-2021-34527 : Windows Print Spooler Remote Code Execution Vulnerability
Comments