アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が、先日2024/11/12に2023 Top Routinely Exploited Vulnerabilitiesというレポートを公開していました。
2023年に最も悪用された脆弱性トップ15がリストアップされています。
このような脆弱性を見つけたとか、理論上脆弱性があるとかではなく、実際に悪用された脆弱性なので、万一対象であれば速やかに対処する必要があります。
ちなみに共同執筆は以下の各組織となっています。
ものすごいメンバーだ。
・Federal Bureau of Investigation (FBI)
・National Security Agency (NSA)
・Australian Cyber Security Centre (ACSC)
・Canadian Centre for Cyber Security (CCCS)
・New Zealand National Cyber Security Centre (NCSC-NZ)
・Computer Emergency Response Team New Zealand (CERT NZ)
・National Cyber Security Centre (NCSC-UK)
2023 Top Routinely Exploited Vulnerabilities
CVE-2023-3519
Citrix NetScaler ADCおよびNetScaler Gatewayの脆弱性です。
不正なリクエストを送りつけることで、認証をスルーしてバックドアを仕掛けることができます。
実際の攻撃例では、ログインページを改竄することでログイン情報を盗み出したとのことです。
修正がリリースされています。
また、顧客が管理しているサービスのみに影響があり、Citrixのクラウドサービスを使っている場合は問題なかったそうです。
・exploit
・Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-3519)に関する注意喚起
・Threat Brief: RCE Vulnerability CVE-2023-3519 on Customer-Managed Citrix Servers
CVE-2023-4966
これまたCitrix NetScaler ADCとNetScaler Gatewayの脆弱性です。
特にCitrixBleedと個別名称が付けられており、影響の広さがうかがえます。
非常に長いHostヘッダのついたリクエストヘッダをつけたGETリクエストを送りつけるとバッファオーバーフローを起こし、なぜか他人のセッションCookieを返してくるそうです。
あとはそれを使えばなりすましログインできるということになります。
exploitは一目でわかる単純なつくりをしています。
・exploit
・【脅威分析レポート】CitrixBleedの脆弱性(CVE-2023-4966)に関する分析
・36 million people affected by data breach at Xfinity
CVE-2023-20198 / CVE-2023-20273
Cisco製ルータのOSであるCisco IOS XEの脆弱性です。
CVE-2023-20198は、HTTPサーバ機能が有効になっている場合に、細工したPOSTリクエストを送信することで特権ユーザを作成することができます。
CVE-2023-20273はWebインターフェイスのコマンドインジェクション脆弱性で、ルート権限でOSコマンドを実行するそうです。
ということで、このふたつがあればまあだいたい何でもできてしまいますね。
exploitを見ると、SOAPを送りつけていることが分かります。
SOAP……生きていたのか…!?
本脆弱性によってハッキングされた機器は5万台以上あったのですが、その後数日で数百台まで激減したそうです。
もちろん実際に減ったわけではなく、存在を隠すように進化したのだと思われますが詳細は不明です。
・exploit
・Cisco IOS XE ソフトウェア、Web 管理 UI の脆弱性が悪用される
・CVE-2023-20198:Cisco IOS XE のゼロデイ脆弱性の積極的悪用
・Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
CVE-2023-27997
FortiOSの脆弱性です。
VPNの認証リクエストを受け取る処理にバグがあり、本来の長さの2倍のリクエストを受け取ってしまうため想定外のメモリを書き換えることができるというバッファオーバーフロー脆弱性です。
詳細な技術記事がありましたが、正直何言ってるかわからない。
・exploit
・CVE-2023-27997の深刻なパッチ遅れ、エクスプロイト可能なFortiGateファイアウォールが4600以上
・XORtigate: Pre-authentication Remote Code Execution on Fortigate VPN (CVE-2023-27997)
CVE-2023-34362
ファイル転送ツールMOVEit TransferのSQLインジェクション脆弱性です。
この脆弱性による攻撃は、公開されるより少なくとも30日前から始まっていたようです。
さらに、最も古い痕跡は2021年から存在したとかなんとか。
SQLインジェクションと言われるとそんな原始的なミスを…って思いますが、実際はそう単純なわけではなく、正常なルートではきちんとエスケープ処理されており、複雑な過程を経てようやく成功する攻撃だったとのことです。
どうやって発見するんだこういうの。
・exploit
・CVE-2023-34362
・【脅威分析レポート】CVE-2023-34362 – MOVEit Transferにおけるクリティカルなゼロデイ脆弱性
・MOVEit Transfer Critical Vulnerability (CVE-2023-34362) Exploited as a 0-day
CVE-2023-22515
Atlassian Confluence Data Centerの脆弱性です。
何故かQiitaに詳しい検証記事がありました。
不正なリクエストを送りつけることで、本来なら最初の一回だけしか行われないはずの管理者セットアップを再度実行できてしまうとのことです。
これによって管理者アカウントを作成されて乗っ取られてしまいます。
Atlassianのホスト環境であれば問題なく、独自サーバに展開している場合に攻撃された可能性があるということです。
・exploit
・脆弱性検証(CVE-2023-22515)
・CVE-2023-22515 - Confluence Data Center および Server におけるアクセス制御破損の脆弱性
CVE-2021-44228
Log4Shellです。
Log4Jには、出力文字列から${java:version}をJavaのバージョンに変換する、みたいな機能があります。
この機能をうまく利用することで、外部サーバから任意のコードを拾ってきて実行できてしまうという脆弱性がLog4Shellです。
影響範囲が非常に大きいこともあり、2023年も引き続き盛んに攻撃されているようです。
・exploit
・Apache Log4jに見つかった脆弱性「Log4Shell」とは
・Apache Log4jの脆弱性「Log4Shell」を悪用する攻撃手口を解説
・Restrict LDAP access via JNDI #608
CVE-2023-2868
Barracuda Email Security Gatewayのコマンドインジェクション脆弱性です。
不正な名前を付けたファイルを.tarに固めて送りつけるとエスケープされずにqxされてしまうというものであり、直球ストレートのコマンドインジェクションですね。
修正バージョンは自動適用されるということです。
やはり自動更新は正義。
・exploit
・Barracuda Email Security Gateway Appliance (ESG) Vulnerability
・NISCと気象庁が使用していたメール関連機器へのサイバー攻撃についてまとめてみた
・中国との関連が疑われる攻撃的、かつ高度なスキルを持つ攻撃者が Barracuda ESGのゼロデイ脆弱性(CVE-2023-2868)を悪用
CVE-2022-47966
Zoho ManageEngineの脆弱性です。
中で使っている認証ライブラリApache Santuarioのバージョンが古く、証明書検証の過程で任意コードを実行できてしまうそうです。
つまりZoho ManageEngineだけではなく、古いApache Santuarioを使っている他のソフトウェアでも発生する可能性があるのでは?
・exploit
・CVE-2022-47966 SAML ShowStopper
・Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966:活発な悪用と攻撃
CVE-2023-27350
印刷管理ソフトPaperCut MF/NGの脆弱性です。
このソフトウェアは元々ログイン後に任意のスクリプトを実行する機能があるみたいですが、特定のリクエストを送りつけることで認証をバイパスして機能を実行できてしまったそうです。
普通プリンタをインターネットに直接つなげることはあんまりないので、その場合は攻撃の危険性はかなり低減されます。
もちろんインターネットにつないでいたらアウトです。
・exploit
・CVE-2023-27350: PaperCut NG and MF Remote Code Execution Vulnerability
・印刷管理ソフトウェアPaperCutに深刻なリモートコード実行の脆弱性「CVE-2023-27350」
CVE-2020-1472
Windows Active Directoryに使われるプロトコルNetlogonの脆弱性です。
ドメインコントローラが乗っ取られるという極めて危険な脆弱性です。
本脆弱性は、2021年以降、攻撃される脆弱性リストの上位に位置し続けています。
原因としては、暗号化の初期化ベクトルが常に0だったらしい。ええ…
Windowsであれば、セキュリティ更新プログラムで自動的に修正されているはずです。
・exploit
・Zerologon: Instantly Become Domain Admin by Subverting Netlogon Cryptography (CVE-2020-1472)
・Zerologon(ゼロログオン)とは?脆弱性の仕組みとその対策を解説
・Active Directoryの脆弱性「Zerologon (CVE-2020-1472)」に要注意!
CVE-2023-42793
JetBrains TeamCity Serverの脆弱性です。
Webサーバにおいて、認証をバイパスして任意のコマンドを実行することができます。
・exploit
・TeamCityへの侵入攻撃:APT29がCVE-2023-42793を悪用か?
CVE-2023-23397
Microsoft Outlookの脆弱性です。
特殊なメールを送信することで、Windowsの認証に使用されているNet-NTLMv2認証情報が流出するそうです。
通常、メールによる攻撃はユーザが添付ファイルを開く、URLを踏むといったユーザ側のアクションも必要としますが、この攻撃はユーザがメールを開かなくとも成立するそうです。
いったいどういうことなんだ。
・exploit
・Microsoft Outlook の特権の昇格の脆弱性
・Outlook for Windowsに深刻な特権昇格の脆弱性「CVE-2023-23397」
CVE-2023-49103
ownCloud Graph APIの不適切な設定による情報流出です。
ownCloud Graph APIは、オンラインストレージownCloud ServerをMicrosoftアカウントで使用できるようにするプラグイン、だと思うのですがよくわかりません。
で、このプラグインは内部でMicrosoft Graph APIを使っているようです。
このライブラリにはGetPhpInfo.phpというテスト用ファイルが含まれており、中身はphpinfo()を表示しているだけです。
ベストプラクティスに従って普通に使うかぎりではテスト用ファイルはWebからアクセスされる場所には入らないのですが、ownCloud Graph APIは不適切な設定のせいでWebアクセス可能な場所に入ってしまっていたようです。
結果として様々な環境変数、データベース接続アカウント等が流出する羽目になってしまいました。
本来はライブラリ使用側の問題ですが、不用意なファイルが置いてあるのも問題なのでMicrosoft Graph API側も該当ファイルを削除することにしたようです。
Microsoft Graph APIは、グラフ描画とかは全く関係ない資格情報とかを管理するAPIです。
こいつ訳あって調べたことがあるのですが、まじで意味がわからなくて死んだ。
・exploit
・オンラインストレージ構築ソフト「ownCloud」に緊急の脆弱性、更新を
・CVE-2023-49103 - ownCloud Graph API における重大な脆弱性情報
感想
トップ15のうち12件が2023年の当年中に発見された脆弱性です。
2022年はトップ12のうち同年に見つかった脆弱性が5件だったことを考えると、脆弱性が見つかってから攻撃に転用されるまでの期間が明らかに短くなっていますね。
私でもやらないようなしょうもない脆弱性から、調査報告が何言ってるのかさっぱりわからない高度な脆弱性まで、様々な脆弱性があらゆる攻撃に使われています。
今後も脆弱性との戦いは永遠に続くだろうし、ますます早期対応が重要になってくることでしょう。
というかご自慢のAIを使って自動でアップデートとか防衛とかするようにしてくれないかね。
どうでもいいけどexploitがPythonばっかりなのはなんでだろう。