米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は4月18日(米国時間)、「APT28 Exploits Known Vulnerability to Carry Out Reconnaissance and Deploy Malware on Cisco Routers|CISA」において、既知の脆弱性を悪用してシスコシステムズのルータを侵害する脅威者がいると伝えた。英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)および米国連邦調査局(FBI: Federal Bureau of Investigation)と共同のもと、「APT28」と呼ばれるサイバー攻撃グループの戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)が公開されている。

APT28 Exploits Known Vulnerability to Carry Out Reconnaissance and Deploy Malware on Cisco Routers|CISA

APT28(Fancy Bear、STRONTIUM、Pawn Storm、Sednit Gang、Sofacyとしても知られる)は、高度なサイバー技術を持つとされている脅威アクター。同庁はAPT28がロシア連邦軍参謀本部情報総局(лавное разведывательное управление)第85特別サービスセンタ(GTsSS:Special Service Center)に所属している軍事情報ユニット26165であると分析している。

APT28が2021年頃から「CVE-2017-6742 (Cisco Bug ID: CSCve54313)」として追跡されている脆弱性を悪用していることがわかった。このキャンペーンで、これまでにヨーロッパおよび米国政府機関、ウクライナなどで約250名の被害者が出たことが確認されている。

CVE-2017-6742はシスコ製ルータで使われている簡易ネットワーク管理プロトコル(SNMP: Simple Network Management Protocol)にあるリモートコード実行(RCE: Remote Code Execution)の脆弱性。共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値が8.8と分類され、深刻度が重要(High)と位置づけられており注意が必要。Ciscoは現在、この欠陥に対しパッチを提供している。

CISAはSNMPでルータが侵害されないよう、信頼できるホストからのみSNMPへのアクセスを制限する、または多数のSNMP管理情報ベース(MIB: Management Information bases)を無効化するなどの回避策を実施するよう推奨している。また、この脆弱性が引き続き悪用される可能性が高いと分析しており、サイバー攻撃に注意を呼びかけている。