16
9

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【CISA】2023年に最も悪用された脆弱性トップ15

Posted at

アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が、先日2024/11/12に2023 Top Routinely Exploited Vulnerabilitiesというレポートを公開していました。
2023年に最も悪用された脆弱性トップ15がリストアップされています。

このような脆弱性を見つけたとか、理論上脆弱性があるとかではなく、実際に悪用された脆弱性なので、万一対象であれば速やかに対処する必要があります。

ちなみに共同執筆は以下の各組織となっています。
ものすごいメンバーだ。

Federal Bureau of Investigation (FBI)
National Security Agency (NSA)
Australian Cyber Security Centre (ACSC)
Canadian Centre for Cyber Security (CCCS)
New Zealand National Cyber Security Centre (NCSC-NZ)
Computer Emergency Response Team New Zealand (CERT NZ)
National Cyber Security Centre (NCSC-UK)

2023 Top Routinely Exploited Vulnerabilities

CVE-2023-3519

Citrix NetScaler ADCおよびNetScaler Gatewayの脆弱性です。

不正なリクエストを送りつけることで、認証をスルーしてバックドアを仕掛けることができます。
実際の攻撃例では、ログインページを改竄することでログイン情報を盗み出したとのことです。

修正がリリースされています
また、顧客が管理しているサービスのみに影響があり、Citrixのクラウドサービスを使っている場合は問題なかったそうです。

exploit
Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-3519)に関する注意喚起
Threat Brief: RCE Vulnerability CVE-2023-3519 on Customer-Managed Citrix Servers

CVE-2023-4966

これまたCitrix NetScaler ADCとNetScaler Gatewayの脆弱性です。
特にCitrixBleedと個別名称が付けられており、影響の広さがうかがえます。

非常に長いHostヘッダのついたリクエストヘッダをつけたGETリクエストを送りつけるとバッファオーバーフローを起こし、なぜか他人のセッションCookieを返してくるそうです。
あとはそれを使えばなりすましログインできるということになります。

exploitは一目でわかる単純なつくりをしています。

exploit
【脅威分析レポート】CitrixBleedの脆弱性(CVE-2023-4966)に関する分析
36 million people affected by data breach at Xfinity

CVE-2023-20198 / CVE-2023-20273

Cisco製ルータのOSであるCisco IOS XEの脆弱性です。

CVE-2023-20198は、HTTPサーバ機能が有効になっている場合に、細工したPOSTリクエストを送信することで特権ユーザを作成することができます。
CVE-2023-20273はWebインターフェイスのコマンドインジェクション脆弱性で、ルート権限でOSコマンドを実行するそうです。

ということで、このふたつがあればまあだいたい何でもできてしまいますね。

exploitを見ると、SOAPを送りつけていることが分かります。
SOAP……生きていたのか…!?

修正がリリースされています

本脆弱性によってハッキングされた機器は5万台以上あったのですが、その後数日で数百台まで激減したそうです。
もちろん実際に減ったわけではなく、存在を隠すように進化したのだと思われますが詳細は不明です。

exploit
Cisco IOS XE ソフトウェア、Web 管理 UI の脆弱性が悪用される
CVE-2023-20198:Cisco IOS XE のゼロデイ脆弱性の積極的悪用
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities

CVE-2023-27997

FortiOSの脆弱性です。

VPNの認証リクエストを受け取る処理にバグがあり、本来の長さの2倍のリクエストを受け取ってしまうため想定外のメモリを書き換えることができるというバッファオーバーフロー脆弱性です。
詳細な技術記事がありましたが、正直何言ってるかわからない。

修正がリリースされています

exploit
CVE-2023-27997の深刻なパッチ遅れ、エクスプロイト可能なFortiGateファイアウォールが4600以上
XORtigate: Pre-authentication Remote Code Execution on Fortigate VPN (CVE-2023-27997)

CVE-2023-34362

ファイル転送ツールMOVEit TransferのSQLインジェクション脆弱性です。

この脆弱性による攻撃は、公開されるより少なくとも30日前から始まっていたようです。
さらに、最も古い痕跡は2021年から存在したとかなんとか。

SQLインジェクションと言われるとそんな原始的なミスを…って思いますが、実際はそう単純なわけではなく、正常なルートではきちんとエスケープ処理されており、複雑な過程を経てようやく成功する攻撃だったとのことです。
どうやって発見するんだこういうの。

修正がリリースされています

exploit
CVE-2023-34362
【脅威分析レポート】CVE-2023-34362 – MOVEit Transferにおけるクリティカルなゼロデイ脆弱性
MOVEit Transfer Critical Vulnerability (CVE-2023-34362) Exploited as a 0-day

CVE-2023-22515

Atlassian Confluence Data Centerの脆弱性です。

何故かQiitaに詳しい検証記事がありました。
不正なリクエストを送りつけることで、本来なら最初の一回だけしか行われないはずの管理者セットアップを再度実行できてしまうとのことです。
これによって管理者アカウントを作成されて乗っ取られてしまいます。

Atlassianのホスト環境であれば問題なく、独自サーバに展開している場合に攻撃された可能性があるということです。

修正がリリースされています

exploit
脆弱性検証(CVE-2023-22515)
CVE-2023-22515 - Confluence Data Center および Server におけるアクセス制御破損の脆弱性

CVE-2021-44228

Log4Shellです。

Log4Jには、出力文字列から${java:version}をJavaのバージョンに変換する、みたいな機能があります。
この機能をうまく利用することで、外部サーバから任意のコードを拾ってきて実行できてしまうという脆弱性がLog4Shellです。

影響範囲が非常に大きいこともあり、2023年も引き続き盛んに攻撃されているようです。

exploit
Apache Log4jに見つかった脆弱性「Log4Shell」とは
Apache Log4jの脆弱性「Log4Shell」を悪用する攻撃手口を解説
Restrict LDAP access via JNDI #608

CVE-2023-2868

Barracuda Email Security Gatewayのコマンドインジェクション脆弱性です。

不正な名前を付けたファイルを.tarに固めて送りつけるとエスケープされずにqxされてしまうというものであり、直球ストレートのコマンドインジェクションですね。

修正バージョンは自動適用されるということです。
やはり自動更新は正義。

exploit
Barracuda Email Security Gateway Appliance (ESG) Vulnerability
NISCと気象庁が使用していたメール関連機器へのサイバー攻撃についてまとめてみた
中国との関連が疑われる攻撃的、かつ高度なスキルを持つ攻撃者が Barracuda ESGのゼロデイ脆弱性(CVE-2023-2868)を悪用

CVE-2022-47966

Zoho ManageEngineの脆弱性です。

中で使っている認証ライブラリApache Santuarioのバージョンが古く、証明書検証の過程で任意コードを実行できてしまうそうです。
つまりZoho ManageEngineだけではなく、古いApache Santuarioを使っている他のソフトウェアでも発生する可能性があるのでは?

修正がリリースされています

exploit
CVE-2022-47966 SAML ShowStopper
Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966:活発な悪用と攻撃

CVE-2023-27350

印刷管理ソフトPaperCut MF/NGの脆弱性です。

このソフトウェアは元々ログイン後に任意のスクリプトを実行する機能があるみたいですが、特定のリクエストを送りつけることで認証をバイパスして機能を実行できてしまったそうです。
普通プリンタをインターネットに直接つなげることはあんまりないので、その場合は攻撃の危険性はかなり低減されます。
もちろんインターネットにつないでいたらアウトです。

修正がリリースされています

exploit
CVE-2023-27350: PaperCut NG and MF Remote Code Execution Vulnerability
印刷管理ソフトウェアPaperCutに深刻なリモートコード実行の脆弱性「CVE-2023-27350」

CVE-2020-1472

Windows Active Directoryに使われるプロトコルNetlogonの脆弱性です。
ドメインコントローラが乗っ取られるという極めて危険な脆弱性です。

本脆弱性は、2021年以降、攻撃される脆弱性リストの上位に位置し続けています。

原因としては、暗号化の初期化ベクトルが常に0だったらしい。ええ…

Windowsであれば、セキュリティ更新プログラムで自動的に修正されているはずです。

exploit
Zerologon: Instantly Become Domain Admin by Subverting Netlogon Cryptography (CVE-2020-1472)
Zerologon(ゼロログオン)とは?脆弱性の仕組みとその対策を解説
Active Directoryの脆弱性「Zerologon (CVE-2020-1472)」に要注意!

CVE-2023-42793

JetBrains TeamCity Serverの脆弱性です。

Webサーバにおいて、認証をバイパスして任意のコマンドを実行することができます。

exploit
TeamCityへの侵入攻撃:APT29がCVE-2023-42793を悪用か?

CVE-2023-23397

Microsoft Outlookの脆弱性です。

特殊なメールを送信することで、Windowsの認証に使用されているNet-NTLMv2認証情報が流出するそうです。
通常、メールによる攻撃はユーザが添付ファイルを開く、URLを踏むといったユーザ側のアクションも必要としますが、この攻撃はユーザがメールを開かなくとも成立するそうです。
いったいどういうことなんだ。

exploit
Microsoft Outlook の特権の昇格の脆弱性
Outlook for Windowsに深刻な特権昇格の脆弱性「CVE-2023-23397」

CVE-2023-49103

ownCloud Graph APIの不適切な設定による情報流出です。

ownCloud Graph APIは、オンラインストレージownCloud ServerをMicrosoftアカウントで使用できるようにするプラグイン、だと思うのですがよくわかりません。

で、このプラグインは内部でMicrosoft Graph APIを使っているようです。
このライブラリにはGetPhpInfo.phpというテスト用ファイルが含まれており、中身はphpinfo()を表示しているだけです。
ベストプラクティスに従って普通に使うかぎりではテスト用ファイルはWebからアクセスされる場所には入らないのですが、ownCloud Graph APIは不適切な設定のせいでWebアクセス可能な場所に入ってしまっていたようです。

結果として様々な環境変数、データベース接続アカウント等が流出する羽目になってしまいました。

本来はライブラリ使用側の問題ですが、不用意なファイルが置いてあるのも問題なのでMicrosoft Graph API側も該当ファイルを削除することにしたようです。

Microsoft Graph APIは、グラフ描画とかは全く関係ない資格情報とかを管理するAPIです。
こいつ訳あって調べたことがあるのですが、まじで意味がわからなくて死んだ。

exploit
オンラインストレージ構築ソフト「ownCloud」に緊急の脆弱性、更新を
CVE-2023-49103 - ownCloud Graph API における重大な脆弱性情報

感想

トップ15のうち12件が2023年の当年中に発見された脆弱性です。

2022年はトップ12のうち同年に見つかった脆弱性が5件だったことを考えると、脆弱性が見つかってから攻撃に転用されるまでの期間が明らかに短くなっていますね。

私でもやらないようなしょうもない脆弱性から、調査報告が何言ってるのかさっぱりわからない高度な脆弱性まで、様々な脆弱性があらゆる攻撃に使われています。
今後も脆弱性との戦いは永遠に続くだろうし、ますます早期対応が重要になってくることでしょう。
というかご自慢のAIを使って自動でアップデートとか防衛とかするようにしてくれないかね。

どうでもいいけどexploitがPythonばっかりなのはなんでだろう。

16
9
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
16
9

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?