脆弱性が悪用されるまでの短い時間に、できることなど何もない…それでもパッチは適用できる
by Fred House
2021年は、悪用されたゼロデイ脆弱性の数が過去最悪の記録を更新したと言われています。これについては、セキュリティーベンダーによる検知能力が向上した証だとする人もいる一方で、被害者による情報開示が進んだからだとする人もいます。単に「利益」が増大した結果、例えば、REvilが7,000万ドルを要求した、Zerodiumが250万ドルをエクスプロイトに支払ったなど、プレイヤーの数も質も上がっただけだと言う人もいます。しかし、エクスプロイトの範囲が拡大したこと、ターゲットとなるアプリケーションの種類が増えたこと、また組織が被る影響が増大したという結果に、注目するべきでしょう。わたしたちは、2022年には組織の対応スピードが加速すると予想します。
過去12ヶ月間に起きた目立った侵害をいくつか紹介します。組織が対応までの時間を改善する必要があるということを認識できるでしょう。
ProxyLogon
2020年にソーラーウインズの顧客約17,000件が影響を受けた時には、多くの人がその侵害の範囲に驚きを禁じ得ませんでした。注目すべきことに、被害を受けた顧客の一部は、その後も継続的に侵害の被害に遭ったと思われます。残念なことに、2021年には、驚くほど件数の増加が見られました。MicrosoftがProxyLogonのパッチをリリースした2週間後に、30,000台のExchangeサーバーが脆弱な状態に置かれたままであると報告されました。その数は、控えめに見積もっても60,000台と見られています。
ProxyShell
これは、3つの異なる脆弱性(CVE-2021-31207、CVE-2021-34473、CVE-2021-34523)の寄せ集めで、Exchangeに関していえば、今年発生したProxyLogonに次ぐ二番目に大きな事件でした。8月、Black Hatが発表したExchange Serverの脆弱性に関するプレゼンテーションの翌日にエクスプロイトのPOCが公開されました。しかし、この数ヶ月前、4月から5月にかけてこの脆弱性すべてに対して、Microsoftによるパッチが適用されていました。POCが公開されてから1週間後、 Shodanが取得したデータを分析し、3万台以上のExchangeサーバーが依然として脆弱な状態であると結論づけましたが、実際はもっと多い可能性があると指摘されています(Shodanはインターネット全体をスキャンする時間がなかったようです)。結果的に、「春にパッチを当てたにもかかわらず、秋には悪用された」ということです。では、その間に何が起きていたのでしょうか。Microsoft Client Access Serviceの脆弱性 が悪用されました。この脆弱性は、Webシェルを使って侵入したモアクターが、モバイル機器やWebブラウザ上で任意のコードを実行できるというものです。
vCenter Server
5月、VMWareがvCenter Serverに存在するリモートコード実行の脆弱性に対してパッチをリリースしたことも、また注目すべきことでした。その後の分析結果では、パッチのリリースから1週間経過しても4,000台以上のシステムに脆弱性があることが判明しました。一般的な企業のExchangeサーバーと比較して、4,000台の脆弱なvCenterサーバーとなれば大きな影響が出ます。
Kaseya VSA
Kaseya VSAの侵害の話題については、比較的明るい側面もあるかもしれません。7月2日、REvilは、一般向けVSAサーバーに対して、前例のない(「前例のない」ことばかり起きますが)ランサムウェアキャンペーンを開始しました。2日のうちに、DIVD CSIRTは、危険にさらされたサーバーの数が2,200台から140台に減少したと報告しました。およそ50のMSPが危険にさらされ、800件から1500件のビジネスに影響を与えたと推測されています。良い出来事ではないものの、2日間に影響を受けたシステムの94%に対してパッチを当てた結果、REvilの模倣犯による被害を減らせたことは事実です。
この事件から学べることはあるでしょうか。脆弱性が公開されてから数時間のうちに、武器化したエクスプロイトとPOCを準備する攻撃者とセキュリティ研究者の両者が、腕を磨き続けるでしょう。私たちは拡大する侵害による被害を食い止めるため、資産の保護やパッチ適用の運用の見直し、注意を怠らないようにする必要があります。企業はビジネスの中断の可能性があっても、公開された資産特定のため、より迅速にパッチを適用することに注意を払うことになるでしょう。
米国政府は11月3日に発表した「Binding Operational Directive 22-01」では、すべての連邦政府機関に対して既知の脆弱性を2週間以内に修正することを義務付け、「連邦政府機関に重大なリスクがある場合」には、さらに短時間で修正するよう要求しています。修正が必要な脆弱性を掲載した「known exploited vulnerabilities catalog」(CISA, Cybersecurity and Infrastructure Security Agency)では、すべてのケースに2週間の修正期限を設定しています。米国政府だけでなく、わたしたち皆が迅速な対応をするべきでしょう。
※本ページの内容は2021年11月21日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: Zero Care About Zero Days
著者: Fred House