アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が、先日2023/08/04に2022 Top Routinely Exploited Vulnerabilitiesというレポートを公開していました。
2022年に最も悪用された脆弱性トップ12がリストアップされているようです。
以下では該当の脆弱性をそれぞれ紹介してみます。
理論上危険とか原理上危険とかではなく、実際に使われた脆弱性ということなので、対策する必要性は極めて高いといえるでしょう。
心当たりのある人はすぐに対処しましょう。
2022 Top Routinely Exploited Vulnerabilities
CVE-2018-13379
Fortinet社のVPN機器FortiGateに存在する脆弱性で、VPNのログイン情報を抜かれます。
VPNでなりすまし放題ということなわけで、極めて重大な脆弱性と言えるでしょう。
2020年、2021年に引き続きのランクインであり、息の長い脆弱性です。
この脆弱性は2019年5月に修正済であり、さらに公式サイト上でもアップデート方法を案内しているのですが、それにも関わらず未だにアップデートしていない人がたいへん多いということです。
『心当たりのある人はすぐに対処しましょう』とか言いましたが、そのようにユーザに努力を促す方法での対応には限界があることを示していますね。
これを理解しているOS屋・ソフト屋は、こぞって自動更新に舵を切っています。
・Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。
・警察庁に不正アクセス。Fortinet製SSL-VPNの脆弱性CVE-2018-13379を悪用か?
CVE-2021-34473 / CVE-2021-31207 / CVE-2021-34523
3つ合わせてMicrosoft Exchange Serverの脆弱性ProxyShellと呼ばれています。
それぞれは異なる脆弱性なのですが、全てを組み合わせることによってメールサーバの完全な乗っ取りが可能になってしまったようです。
この脆弱性は、2021年4月に行われたPWN2OWN 2021というハッキングコンテストにおいて発見されました。
脆弱性は2021年5月に修正されましたが、その後もアップデートを適用していないサーバへの乗っ取りが頻発しているようです。
・ProxyShell vulnerabilities and your Exchange Server
・Microsoft Exchange Server の脆弱性「ProxyShell」とは
CVE-2021-40539
Windows Active Directoryのアカウントを制御するWebアプリ、ADSelfService Plusの脆弱性です。
REST APIに必要な認証を回避し、jarファイルをアップロードして実行することができてしまうようです。
脆弱性は2021年9月に修正されましたが、2022年にもいまだ被害が発生しているようです。
そもそもこのソフトウェアの名前を初めて知ったのですが、ランキングに載るくらい広く使われているってことですね。
まあAzureまわりの権限ってわけわからんしな…
CVE-2021-26084
Webベースのコラボレーションツール、Atlassian Confluence ServerおよびData Centerの脆弱性です。
内容は認証されていないユーザが任意のコードを実行できるというものであり、CVE-2021-40539と似ていますね。
こちらは2021年8月に修正されましたが、それにもかかわらず2021年9月以降に悪用が増加しています。
・CVE-2021-26084などサーバ関連の脆弱性を悪用するエクスプロイトの解説
・情報共有ツール「Confluence」の脆弱性をついた攻撃について
CVE-2021-44228
かの有名なLog4Shellです。
ざっくり言うと出力されたログが特定の形式であればコードとして実行するという『仕様』であり、そんな仕様が悪用されないわけがありませんね。
Apache Log4jは世界で最も使われているライブラリのひとつであり、そこに極めて致命的な脆弱性が何年にもわたって堂々と存在していたことに世界中が衝撃を受けました。
そしてOSSの歪な現状を世に知らしめるきっかけのひとつにもなりました。
・Apache Log4jに見つかった脆弱性「Log4Shell」とは
・Apache Log4jの脆弱性「Log4Shell」を悪用する攻撃手口を解説
・Restrict LDAP access via JNDI #608
CVE-2022-22954 / CVE-2022-22960
VMWareの各製品に存在する脆弱性です。
CVE-2022-22954はテンプレートインジェクションによって任意のコードを実行することができます。
CVE-2022-22960はローカルユーザがrootに権限昇格できる脆弱性です。
足し合わせることで、外部からrootをゲットできます。
この脆弱性を使った攻撃は、修正のリリース前には存在しなかったようです。
アップデータを公開したことで、それを解析して攻撃が始まったとかなんとか。
・脅威に関する情報: VMwareの脆弱性(CVE-2022-22954他)
・VMware Advisory
・CVE-2022-22954のexploit
CVE-2022-1388
BIG-IP製品において、認証をスルーしてコマンドの実行が可能な脆弱性です。
・K23605346: BIG-IP iControl REST vulnerability CVE-2022-1388
・脅威に関する情報: CVE-2022-1388 BIG-IP製品のiControlRESTコンポーネントにおけるリモートコード実行の脆弱性
・Expoloit
CVE-2022-30190
Windowsに標準装備されているMicrosoftサポート診断ツール(MSDT)の脆弱性です。
WordやrtfなどのOfficeファイルを開く、もしくはプレビューするだけで任意のコードを実行されてしまいます。
極めて危険かつゼロデイ攻撃も観測されていたにも関わらず、パッチの提供まで数週間以上もかかったということで批判もされました。
現在ではWindows Updateによって防がれます。
・Microsoft Wordなどを介して任意コード実行が可能なMSDTの脆弱性(CVE-2022-30190、Follina)の検証
・ Microsoft サポート診断ツールの脆弱性 (CVE-2022-30190) についてまとめてみた
CVE-2022-26134
CVE-2021-26084と同じくAtlassian ConfluenceとData Centerの脆弱性です。
認証をパスして任意のコードを実行されるというもので、ゼロデイ攻撃も観測されたようです。
・Atlassian Confluenceに見つかったリモートから任意のコードを実行可能な脆弱性(CVE-2022-26134)の検証
・Atlassian Confluenceの脆弱性「CVE-2022-26134」が暗号資産マイニングやマルウェア配布に不正使用される
・Exploit
・Confluence セキュリティ勧告 - 2022-06-02
感想
リストアップされた脆弱性の多くは、発覚からすぐに、もしくは周知される前に早々と修正がリリースされています。
さらにリストの半数は2021年までに修正されている脆弱性です。
それなのに2022年に悪用されたランキングに載ってくるということは、アップデートをしていない環境がいかに多いかを示していますね。
この現状に対して、「アップデートしろ」と啓蒙することが解決にならないのは明らかです。
従って別の解決方法を検討する必要がありますが、最適な対策は、やはり強制でしょう。
最近はOSもアプリも自動的にアップデートされるものが多くなってきており、今後もこの流れは加速するでしょう。
古いバージョン、特定のバージョンを使い続けたいというニーズも存在するのは確かですが、それよりもセキュリティのほうが優先されるべきなのは間違いありません。
それにしても我々の脆弱性への立ち向かい方は、今はまだほぼ全てが発覚してからの対症療法であり、常に後手後手に回っています。
いつかはなんかリリースされる前に全ての脆弱性をどうにかしてくれる究極的な解決策、あるいはなんか悪用者を完全にさくっと特定できる仕組みみたいなものが発明されてほしいですね。