Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

攻撃者が狙う脆弱性のトレンド

イスラエルのCongnyteがサイバー犯罪フォーラムを調査した結果が記事になっていました。DarkWeb上の脅威アクターの間でどのCVEが人気あったか、という視点は参考になるかと思います。

threatpost.com

研究者は、2020年1月から2021年3月までの間に、ZeroLogon、SMBGhost、BlueKeepが攻撃者の脆弱性について最も話題になっていることを発見しました。

 

犯罪者に人気の6つのCVE
CVE-2020-1472(別名ZeroLogon) *Microsoft

CVE-2020-0796(別名SMBGhost) *Microsoft

CVE-2019-19781                              *Bad Packets *Citrix

CVE-2019-0708(別名BlueKeep)  *Microsoft

CVE-2017-11882                              *JVN

CVE-2017-0199

「このリストのCVEのほとんどは、さまざまなセクターに対する世界的なキャンペーン中に、国民国家グループやランサムウェアギャングなどのサイバー犯罪者によって悪用されました」とレポートは述べています。

 

キタきつねの所感

DarkWebフォーラムの調査機関は2020年1月~2021年3月となっていますので、現在の状況はまた変わっている部分もあるかも知れません。

クリティカルな脆弱性が発表されても、パッチ適用しない(又は緩和策を講じない)ユーザがあまりに多いと言う現状は、多くのインシデントが物語っていますが、そうしたパッチ未適用で放置する事の「リスク」がこの調査結果にも表れていると言えそうです。

上位の6つの脆弱性を改めてみていきます。CVE-2020-1472は2020年9月に発表された脆弱性ですが、別名Netlogon(特権昇格の脆弱性と言った方が分かりやすいかも知れません。

www.jpcert.or.jp

 

2つ目がCVE-2020-0796は、SMBv3の脆弱性が悪用される事により遠隔の攻撃者が任意のコード実行する可能性があるという2020年3月発表の脆弱性です。

www.jpcert.or.jp

 

3つ目は、Citrix製品の複数の脆弱性(Bad Packets)で、こちらも遠隔の第三者が任意のコードを実行できる危険性があるというものです。2019年の脆弱性がトレンドに挙がってくるという事自体、パッチ「未適用」な対象が多いという事を表しているかと思います。

www.jpcert.or.jp

 

4つ目は、リモートデスクトップ(RDP)の脆弱性で、こちらも任意のコードを実行できる可能性があるものです。こちらも2019年5月発表と古い脆弱性ですが、緊急パッチがまだ当てられてない所がある事を物語っています。

www.jpcert.or.jp

 

5つ目は、もっと古い脆弱性で2017年11月発表です。Microsoft Office(2007~2016)の数式エディタの脆弱性で、バッファーオーバーフローの危険性があります。Office2016のサポート期限は2020年10月でしたので、ギリギリまでOffice2016を使っている企業・組織を狙ったのかと思われます。

www.ipa.go.jp

 

最後は、こちらも2017年4月と古い脆弱性です。Microsoft OLEの脆弱性で遠隔からの任意コード実行の危険性があるものですが、初期が観測された内容(Wordの添付ファイルに偽装されたRTF形式のファイルで攻撃開始)がフィッシング攻撃と相性が良い事からトレンドに入っているのだろうと思います。

しかし影響を受けるMicrosoft製品は、Office2007、Office2010、Office2016、Windows7Windows Server 2008Windows Server 2012等となっているので、こちらもWindows7やOffice2016など、ギリギリまで製品を引っ張っているユーザが狙われていたのだと思われます。

jvndb.jvn.jp

 

ここまで6つの脆弱性を挙げましたが・・・気づきましたでしょうか?

 

Citrix以外、5つがマイクロソフト製品の脆弱性です。

 

この事から考えられるのは、脅威アクターはマイクロソフトの(ZeroLogonやBlueKeepといった)クリティカルな脆弱性/エクスプロイトが出るのを待っていて、パッチ未適用の企業・組織を狙うという攻撃を好んでいるという事です。

 

threatpostの記事では、2番目の脆弱性(CVE-2020-0796/SMBGhost)のケースを例示しているのですが、2020年3月発表の脆弱性に対して、2020年10月の段階で10万台Windowsシステムが脆弱性を以前としてあると分析していました。

threatpost.com

 

こうしたパッチ未適用組の中に日本企業・組織が入っていれば、大きな被害を受ける可能性は十分に考えられます。

テスト環境が無い、あるいは稼働中のシステムを止められない等、様々な事情でパッチ(緩和策)適用が出来ないという企業は、その状態を長く続ける事自体がリスクであると認識を改める事が重要かと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ブラックリストのイラスト

 

更新履歴

  • 2021年7月17日 AM