米国の国土安全保障省 (DHS) サイバーセキュリティ・インフラセキュリティ庁 (CISA) と連邦捜査局 (FBI) は2020年5月12日、 共同で「常に悪用された脆弱性トップ10」と題されたガイダンス を公開しました。 そのガイダンスの中で触れられている脆弱性とその傾向をご紹介します。

2016年から2019年の脆弱性トップ10

最も頻繁に悪用されたのは 2017年11月公開の Microsoft OLE テクノロジに関連する脆弱性

前記のガイダンスの中では「米国政府の技術分析によれば、悪意のあるサイバー攻撃者は Microsoft の Object Linking and Embedding (OLE) テクノロジの脆弱性を最も頻繁に悪用した」と述べられています。

2017年11月に公開された「Microsoft Office のリモートからコードを実行される問題 (CVE-2017-11882, CVE-2017-0199)」 は、共に OLE テクノロジに関連する脆弱性であり、「国家の支援を受けた中国、イラン、北朝鮮、およびロシアのサイバー攻撃者によって頻繁に使用された」とされています。

以下は、SIDfm RA 脆弱性管理ツールでの当該脆弱性情報の画面を表示したものです。

この脆弱性は NVD の CVSSv3 の評価で 7.8 (High) の扱いです。 また攻撃元区分 (Access Vector) が何故かローカル (Local) となっています。 実際のところ、攻撃者は細工されたファイルを標的のユーザに開かせれば良いため、この評価は適切ではありません。

Microsoft Office のような脆弱性対応の容易なソフトウェアでも脆弱性の対応がまともに行われていないことが分かります。 逆にいえば Microsoft Office のセキュリティ更新プログラムの適用を徹底するだけで、相当のリスク低減効果を見込めます。

次に悪用の報告が多かったものは Apache Struts の脆弱性

Apache Struts は、広範に使用されている Java EE の Web アプリケーションフレームワークです。 しかしながら、リモートからの任意のコード実行を許す脆弱性を度々出すことでも有名です。

「Apache Struts 2 のリモートからコードを実行される問題 (CVE-2017-5638)」は、海外のみならず国内でも官公庁や民間企業の Web サイトに対する攻撃の報告が相次いだ脆弱性です。 Web アプリケーションフレームワークのようなソフトウェアでも、適切に使用状況を把握し脆弱性に対処する必要があることを示す事例と考えます。

長期に渡って悪用された脆弱性

「Microsoft Office などのリモートからコードを実行される問題 (CVE-2012-0158)」は、OLE テクノロジ関連の脆弱性で、中国の国家によるサイバー攻撃者によって長期に渡り悪用されてきたとされています。

この脆弱性は、2015年に米国政府によって公式に、中国の国家によるサイバー攻撃者のオペレーションにおいて最も使用されたもの、と評価されていましたが、2019年12月の時点でも頻繁に悪用されていました。 ガイダンスは「この傾向は、組織がこの脆弱性に対するパッチをいまだ広く適用していないことと、中国の国家のサイバー攻撃者は有効であるならば古い脆弱性をオペレーションに組み込み続ける可能性があることを示唆している」と述べています。

製品ベンダによるサポートの終了したソフトウェアは、公式の脆弱性情報が提供されなくなりますが、安全になった訳では無いことが良く分かります。

Web Shell のインストールに使用される脆弱性

「Microsoft SharePoint Server にリモートからコードを実行される問題 (CVE-2019-0604)」は、ガイダンスのトップ10に名前を連ねるだけでなく、米国家安全保障局 (NSA) が公表した Cybersecurity Information Sheet の中で、Web Shell のインストールに使用される脆弱性としても扱われています。 Web Shell は、いわゆるマルウェアであり、攻撃者に攻略されたシステムへインストールされます。Web Shell をインストールされることにより、そのシステムは HTTPS 経由で攻撃者に操作されるシステムとなり、完全に乗っ取られた状態となります。

この脆弱性は 2019年7月の国連組織に対するサイバー攻撃 (中国の関与が疑われる) にも使用されたとされています。 こちらについては SIDfm ブログのエントリ 「国連のサーバ 42 台が侵害される - Microsoft SharePoint の脆弱性を悪用 -」をご覧ください。

米国家安全保障局 (NSA) が開発した攻撃ツールに悪用された脆弱性

Shadow Brokers を名乗るグループは2017年4月14日、米国家安全保障局 (NSA) との関連が疑われる Equation Group から入手した複数の攻撃ツールを公開しました。 これらの攻撃ツールには、Microsoft Windows の SMB に関連する深刻な脆弱性を悪用するものが含まれており、これら攻撃ツールの公開が、 WannaCry などのランサムウェアによる大規模な攻撃に発展したと言われています。

この攻撃ツールで悪用される「Microsoft Windows にリモートからコードを実行される問題 (CVE-2017-0143)」は、攻撃ツールの公開前である2017年3月15日の定例アップデート (MS17-010) で修正されています。 しかしながら、SMB はファイル共有やプリンタ共有のために組織内で広く使われていたことと、パッチ適用の遅れから、Shadow Brokers の公開した攻撃ツールに含まれていた EternalSynergy とその派生ツールによって頻繁に悪用されたものと考えられます。

攻撃ツールにより大規模な攻撃に発展した事例ではありますが、Windows Update による適切な更新プログラムの適用により予防できたものであることは、覚えておきたいところです。

定番のソフトウェアの脆弱性

Microsoft Office だけでなくクライアントで良く利用される Adobe Flash Player、Microsoft .Net Framework の脆弱性も、悪用される脆弱性としてあげられています。

「Adobe Flash Player にリモートからコードを実行される問題 (CVE-2018-4878)」および「Microsoft .Net Framework にリモートからコードを実行される問題 (CVE-2017-8759)」は、脆弱性情報や更新プログラムの提供前に悪用されていたゼロデイの脆弱性です。

それでも長期に渡り継続的に悪用された脆弱性として挙げられていることを考えると、ゼロデイの脆弱性として世間を騒がす脆弱性でも、更新プログラムの適用は徹底されないことがみえてきます。

また「Microsoft Office にリモートからコードを実行される問題 (CVE-2015-1641)」は、更新プログラムの公開から悪用されるまで1年近く時間があいていますが、普通に悪用されてしまいます。

広く使われている CMS の脆弱性

高機能のため広く使われている CMS の Drupal ですが、オープンソースのサーバアプリケーションとして唯一このガイダンスで言及されています。

「Drupal にリモートからコードを実行される問題 (CVE-2018-7600)」は、2018年3月28日公開された脆弱性情報ですが、公開されてから数日で容易に悪用可能な実証コードが公開されています。

そもそも脆弱性の悪用が容易であることが狙われた理由と考えられますが、導入された CMS は、メンテナンスがおろそかになりやすいことや、影響を受ける Drupal 6.x のサポートが終了していたことなども理由ではないかと推測します。

この脆弱性は、情報公開から攻撃発生の期間が短かったため、脆弱性のハンドリングによっては対策が間に合わなかった可能性もあったと考えます。

2020年に悪用された脆弱性

狙われる VPN 製品の脆弱性

前記ガイダンスの中で、洗練された外国のサイバー攻撃者によって常習的に悪用されている脆弱性として、次の VPN 製品に関連する脆弱性が挙げられています。

• Citrix ADC などにリモートからコードを実行される問題

  VPN 製品は、製品の性質上、インターネットへサービスを公開することになるため、その脆弱性は狙われやすいものとなります。 またこの脆弱性は、脆弱性情報の公開時には更新プログラムが存在せず、脆弱性を悪用した攻撃が観測された後に更新プログラムが提供されたという経緯があります。

  NSA の Cybersecurity Information Sheet の中では、この脆弱性も CVE-2019-0604 のように、Web Shell のインストールに悪用される脆弱性としても扱われています。

  Bad Packets 社の スキャン結果 (削除済) によれば、日本国内は2020年2月14日の段階で 65 のホストが脆弱なままであるとされています。

• Pulse Connect Secure にリモートからファイルを読み取られる問題

  2020年に入っても攻撃グループによって引き続き魅力的なターゲットとなっているこの脆弱性は、2019年9月の時点で JPCERT/CC など複数の機関で 注意喚起 がなされてきました。しかしながら Bad Packets 社の スキャン結果 (削除済) によれば、日本国内の脆弱なホストは2020年3月24日の調査結果で 298 台も残されているとされています。

  なおこの脆弱性は、情報公開が 2019年7月18日であり、ある程度の危険性のある脆弱性と認識していれば、攻撃の開始までに十分対処可能な脆弱性でした。

更新履歴

• 2020年05月28日

  • 新規公開

• 2022年12月22日

  • リンク切れを修正または削除

組織防衛のために

あなたの組織でこれらの脆弱性が対策されていることを確認できますか？ 弊社の継続的脆弱性管理ツール SIDfm VM は、管理対象のホストで使用するソフトウェアで新しく報告された脆弱性のピックアップを行い、影響判定や対策工程の把握まで、脆弱性管理をトータルでカバーいたします。

脆弱性の調査やパッチ探しは一切不要！
脆弱性対策を自動化できるので工数大幅削減！
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる！

それらを全て実現するサービスがあります。

脆弱性管理ツール「SIDfm VM」について詳しくはこちらから

参照

• Alert (AA20-133A) Top 10 Routinely Exploited Vulnerabilities (CISA)
• Detect & Prevent Cyber Attackers from Exploiting Web Servers via Web Shell Malware (NSA)
• 複数の SSL VPN 製品の脆弱性に関する注意喚起 (JPCERT/CC)
• 複数の Citrix 製品の脆弱性 (CVE-2019-19781) に関する注意喚起 (JPCERT/CC)
• Vulnerabilities exploited in VPN products used worldwide (NCSC)
• Alert (AA20-107A) Continued Threat Actor Exploitation Post Pulse Secure VPN Patching (CISA)
• Protecting customers and evaluating risk (Microsoft)
• Eternal Synergy Exploit Analysis (Microsoft)
• Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781 (Bad Packets)
• Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781 by country – 2020-02-14 Scan Results (Bad Packets)
• Over 14,500 Pulse Secure VPN endpoints vulnerable to CVE-2019-11510 (Bad Packets)
• Pulse Secure VPN servers vulnerable to CVE-2019-11510 by country – 2020-03-24 Scan Results (Bad Packets)