CISA警告 AA25-266A：未パッチGeoServer（CVE-2024-36401）経由の米連邦機関侵害に関連する悪意ある活動の検知

2025年におけるサイバーセキュリティリスクは高まっており、脆弱性、攻撃の活発化、大規模侵害の増加が報告されています。最近、CISAは攻撃者が未修正のGeoServerインスタンスに存在するCVE-2024-36401を悪用して米連邦機関を侵害したと報告しました。この脆弱性は2024年6月に修正済みの重大なRCEです。しかし、数千のサーバーが依然として露出しており、攻撃は7月にはすでに確認されていました。

CISA AA25-266Aアラートに記載されたTTPの検知

ソフトウェア脆弱性の悪用は、攻撃者がシステムにアクセスする最も一般的かつ危険な手法のひとつです。特に、大規模組織や政府機関、重要インフラが依存する広く使われているソフトウェアに脆弱性が存在する場合は重大です。攻撃者はこれらの人気プラットフォームを標的にし、システムを制御します。

Verizonの2025年データ侵害調査報告書（DBIR）によると、初期アクセスに脆弱性を利用する割合は34%増加し、現在すべての侵害の20%を占めています。また、Mandiantのデータによる確認では、脆弱性の悪用が5年連続で攻撃者による初期システム侵害の最も一般的な方法であることが示されています。侵入ポイントが特定されたケースでは、攻撃の33%がソフトウェア脆弱性の悪用から始まっています。

最近の事例として、CVE-2024-36401の未修正GeoServerを通じて米連邦機関が侵害されたケースがあります。この重大なリモートコード実行脆弱性は2024年6月に修正され、CISAの「積極的に悪用されている脆弱性」カタログに追加されました。それにもかかわらず、多くのサーバーが2025年まで露出しており、CISAが呼びかける「優先的なパッチ適用、疑わしい活動の監視、インシデント対応計画の強化」の重要性が強調されます。

SOC Primeプラットフォームに今すぐ登録して、コンテキスト付きの検知ルールやAI駆動の脅威インテリジェンスライブラリにアクセスし、新たな脆弱性を悪用した攻撃に先手を打ちましょう。プラットフォームには、CISAのAA25-266Aアラートで説明されているTTPに対応する厳選検知が含まれ、AIによる検知エンジニアリング、自動化された脅威ハンティング、高度な脅威検知のための完全な製品スイートがサポートされています。以下のExplore Detectionsボタンをクリックして、関連する検知スタックにアクセスしてください。

Explore Detections

サイバー防御者は、CVEタグを使用して、脆弱性悪用に関連する幅広い検知ルールをThreat Detection Marketplaceで確認できます。

さらに、セキュリティ専門家は Uncoder AI を使用して、脅威情報に基づく検知エンジニアリングを効率化できます。生の脅威レポートから検知アルゴリズムを生成し、IOCスキャンを高速化、ATT&CKタグを予測、クエリコードをAIで最適化、複数のSIEMおよびEDR言語に変換可能です。例えば、最新のAA25-266Aアラートを使用して、数クリックで攻撃フローダイアグラムを生成できます。

CISA AA25-266Aアラートで報告された米連邦民間行政機関（FCEB）侵害の分析

CISAは、EDRシステムが疑わしい活動を検知した米連邦民間行政機関（FCEB）でインシデント対応を開始しました。2025年9月23日のアラートAA25-266Aで、CISAは対応から得られた教訓を共有し、迅速なパッチ適用、訓練された対応計画、ログの集中管理の重要性を強調しました。

防御者は、攻撃者が CVE-2024-36401 の重大なRCE脆弱性をアラート発表の約3週間前に悪用していたことを発見しました。CISAは侵入が2024年7月11日に始まったと特定しました。攻撃者はこの脆弱性を用いて公開GeoServerに攻撃ツールやスクリプトを展開し、持続的アクセスを確保しました。7月15日にはCISA KEVカタログに追加され、7月24日には同じエクスプロイトで2つ目のGeoServerも侵害し、1つ目のGeoServerからWebサーバーおよびSQLサーバーへ横移動しました。これらのシステムに対して、攻撃者は China Chopper のようなWebシェルを設置し、リモートアクセス、持続性、コマンド実行、権限昇格を実施し、LOTL技術も活用しました。

攻撃者は、Burp Suite Burp Scannerを使用して機関の公開GeoServerでCVE-2024-36401を特定し、CISAはBurp Collaboratorドメインからのトラフィックを含む関連活動をWebログで検知しました。

初期アクセスには公開ツールと商用VPSを使用し、evalインジェクションでGeoServerを悪用しました。

持続性確保のため、Webシェル、cronジョブ、有効アカウントを配置しましたが、一部のアカウントは追加利用の痕跡なしに削除されました。攻撃者は、古いLinuxカーネルに影響する CVE-2016-5195 を悪用するDirtyCowユーティリティで権限昇格を試み、サービスアカウントから横展開しました。防御回避手法として、.phpシェルや xp_cmdshell、BITSジョブの悪用、RingQ のステージングを使用しました。組織ネットワーク内部では、パスワードをブルートフォースで収集し、サービスアカウントを悪用しました。初期アクセス後、pingスイープや fscan、linux-exploit-suggester2.pl でネットワークをマッピングし、スキャンの証拠を残しました。

攻撃者はWebサーバーからSQLサーバーに横移動する際、GeoServer 1で xp_cmdshell を有効にしてRCEを達成。C2通信にはPowerShellや bitsadmin getfile を使用しました。

攻撃者はStowawayというマルチレベルプロキシユーティリティを、Tomcatサービスアカウントでディスクに展開し、C2サーバーからWebサーバー経由でトラフィックをトンネリングし、イントラネット制限を回避して内部リソースに到達しました。pingスイープでアクセスをテスト後、curlで修正版Stowawayを取得し、TCP/4441上でHTTPアウトバウンドC2チャネルを確立しました。CISAはC2サーバー上の多数の公開ツールとスクリプトも確認しました。

作成機関は、脆弱性パッチの遅延、インシデント対応計画のテスト不足、EDRアラート監視のギャップの3つの教訓を強調しました。CVE-2024-36401の緩和とリスク低減策として、防御者は公開システム上の重大脆弱性や既知エクスプロイトの優先的なパッチ適用、インシデント対応計画の維持・定期テスト、詳細なログの実装と集中管理を推奨していますSOC Primeの完全製品スイートを活用することで、組織はZero Trustの原則に基づきサイバーセキュリティ体制を強化し、AIと高度な専門知識を組み合わせて、重大な脅威が攻撃に発展する前にリスクを最小化できます。