放置された脆弱性:脅威アクターが狙い続ける Tomcat/VMware/Exchange

Malicious hackers are exploiting known vulnerabilities because organizations aren’t quick enough to patch – report

2021/10/01 DailySwig — ある報告書によると、悪意の攻撃者たちが、パッチが適用されていないシステムを日常的に悪用していることが判明している。したがって、企業は脆弱性の保護に積極的に取り組むことが求められている。今週に発表された 2021 Trustwave SpiderLabs Telemetry Report によると、適切な修正プログラムにすぐにアクセスできるにもかかわらず、それを怠る企業の数は膨大であり、また、サイバー攻撃を受けていることが判明した。

つまり、脅威アクターたちは Shodan を用いて、既知の脆弱性にさらされているネットワークをスキャンし、被害者がパッチを適用する前に、その脆弱性を悪用していることになる。

研究内容

Trustwave SpiderLabs の研究者たちは、2020年の1年間に新たなセキュリティ脆弱性が 18,352件ほど発生し、2019年との比較で 6% 増、2016年との比較では 184.66% 増という、驚異的な数値を記録したと報告している。

これらの欠陥のいくつかは、深刻度が高いと見なされていたが、サーバーの 50% 以上が、セキュリティ更新プログラムがリリースから、数週間後〜数カ月後に悪用されるというケースもあった。研究者たちによると、サーバーにタイムリーにパッチが適用されていないケースと、サポートが終了したバージョンのソフトウェアが動作していたケースがあるという。

知名度の高いターゲット

このレポートでは、Apache Tomcat の HTTP リクエスト・スマグリングの脆弱性 (CVE-2021-33037)、VMware vCenter の複数の脆弱性 (CVE-2021-21986 CVE-2021-21985)、Microsoft Exchange Server ProxyLogon の複数の脆弱性 (CVE-2021-26855 CVE-2021-26858 CVE-2021-26857 CVE-2021-270650) などを、2021年に登場した注目すべき脆弱性として評価している。

同チームは、パッチが広く提供されているにもかかわらず、どれだけのネットワークが、これらのセキュリティ問題にさらされているかを、Shodan を使って調べた。その結果は様々だが、ProxyLogon に対して僅か 5.9% のネットワークが脆弱だった一方で、VMware vCenter の問題に対しては 49% が、Apache Tomcat の HTTP リクエスト・スマグリングに対しては 54% が脆弱であることが分かった。

このレポートには、「攻撃者たちは、Shodan のリモート測定を利用して、時には倫理的ハッカーよりも早く、脆弱なインスタンスに関する情報を収集していく。そのため、組織は積極的に脆弱性を特定し、パッチを適用することが不可欠である」と記されている。

さらに、「Shodan のリモート測定レポートでは、インターネットでアクセス可能なターゲットに対して、2021年に注目された脆弱性を、いくつか確認しました。前述の通り、我々のチームは、レビューした脆弱性のうち、少なくとも3つの脆弱性では、インターネット上でアクセス可能なインスタンスの、50% 以上が脆弱であることを確認しました」と付け加えている。

そして、「実際のところ、パッチがリリースされてから、数週間後から数ヶ月後の間は、このような状況になっていた。また、サポートが終了したソフトウェアが、インターネット上に多く出回っていることも確認できた。サポートされていないバージョンのソフトウェアには、セキュリティパッチが適用されないため、悪用される危険性が非常に高くなる」とも述べている。

文中に「2020年の1年間に新たなセキュリティ脆弱性が 18,352件ほど発生した」と書かれていますが、これは本当のことです。お隣の、脆弱性情報キュレーション・チームが、そう言っていました。それにしても、これだけ大騒ぎになっている脆弱性が、かなりのボリュームで放置されていることに驚きます。脅威アクターが、それらの脆弱性を狙い続けているというのが、その証なのでしょう。

%d bloggers like this: