Firebox、実環境で HAFNIUM 攻撃を検出
2021 年 3 月 29 日 Trevor Collins 著
ここ数週間ウォッチガードの脅威インテリジェンスでは、Exchange Server に対する HAFNIUM 攻撃が相次いで確認されています。Firebox のフィードデータでは、ほぼ毎日 HTTPS プロキシ経由でこの攻撃のシグネチャが確認されていますが、多くの Exchange Server が保護されていないままになっています。Firebox が Exchange Outlook Web Access (OWA) サーバへのこの攻撃を検知するには HTTPS トラフィックの内容を検査し、IPS シグネチャを検出しなければならないのですが、今年フィードに情報を提供している Firebox のうち、暗号化されたコンテンツを検査していたのは 21% に過ぎませんでした。ただし Firebox のフィードは、アクティブな Firebox のうち約 12% からしか情報を受け取っていないため、これが全体の割合を反映しているかどうかは不明です。Exchange Server の管理者が TLS 検査を適切に設定している割合も不明ですが、全体的に見ると非常に少ないと思われます。今回の不正アクセスについては、まだ具体的な標的を予測するのに十分な統計がありませんが、いくつかの傾向が判明しています。
- 25 台のデバイスが、IPS シグネチャによりこれらの攻撃を検知しました。北米と南米 (AMER) の 2 台、欧州、中東、アフリカ (EMEA) の 23 台、アジア太平洋 (APAC) で検出したデバイスはありません。
- 検出された IPS のうち、HAFNIUM 攻撃に関連したものは Firebox 1 台あたり平均 6 件でした。
- 検出された IP アドレスは 50 個で、中には複数のデバイスを標的にしている IP もあります。また、一部のデバイスでは、異なる IP から複数の攻撃を受けています。
- Generic.SecChecker.A.7CFC55B3 を検出したデバイスもありました。これは、サーバがエンドポイント検出のいずれかを実行しているかどうかを識別する Web シェルです。
攻撃者は、まずネットワークをスキャンしてこのような脆弱性があることを特定してから、さらなる攻撃を実行していると考えられます。Firebox 1 台あたりの検出数は、ウォッチガードが確認している他のシグネチャに比べてやや少ないようです。長期的に見ると、ネットワークごとの攻撃数に比例して HAFNIUM 攻撃も増加していくものと思われます。これらの攻撃は Exchange Server を標的としていますが、技術的には OWA の Web メールを狙っているため、TLS 付きの HTTP プロトコル (HTTPS) を使用しています。Exchange/OWA サーバを保護するためにも、HTTPS プロキシによるコンテンツ検査は確実に有効にしてください。