Google: Half of 2022’s Zero-Days Are Variants of Previous Vulnerabilities
2022/07/01 SecurityWeek — Google Project Zeroは、2022年前半に悪用された、合計 18件のゼロデイ脆弱性を観測しており、そのうちの少なくとも半分は、以前のバグが適切に対処されていなかったことに起因していると述べている。Google Project Zero の研究者である Maddie Stone によると、今年に入ってから確認された、野放し状態だったゼロデイ脆弱性のうち9件は、組織がより包括的なパッチを適用していれば防ぐことができた可能性があるという。
Stone は、「さらに、2022年のゼロデイのうち4件は、2021年に発生したゼロデイの亜種であることが判明している。オリジナルの野放しゼロデイ脆弱性にパッチが適用されてから僅か 12カ月で、攻撃者はオリジナルのバグの亜種を携えて戻ってきた」と述べている。
これらの問題のうち、最も新しいものは、Windowsプラットフォームにおける脆弱性 Follina である。この脆弱性は、CVE-2022-30190 として追跡されているが、以前に CVE-2021-40444 として追跡されていた、MSHTML ゼロデイ脆弱性の亜種である。Windowsの脆弱性 CVE-2022-21882 も、昨年に不適切に解決されたゼロデイ脆弱性 CVE-2021-1732 の亜種にあたる。
iOS の IOMobileFrameBuffer のバグ (CVE-2022-22587) と、Chrome V8 エンジンにおけるタイプコンフュージョンの欠陥 (CVE-2022-1096) は、昨年に発見されたセキュリティ欠陥 (CVE-2021-30983 と CVE-2021-30551) の亜種である。
その他の、2022年にゼロデイ脆弱性としては、不適切に対処されたセキュリティ欠陥の亜種である CVE-2022-1364 (Chrome)/CVE-2022-22620 (WebKit)/CVE-2021-39793 (Google Pixel)/CVE-2022-26134 (Atlasian Confluence)/CVE-2022-26925 (Windows 欠陥:PetitPotam) などがある。
Windows win32k (CVE-2022-21882) とChromium (CVE-2022-1096) のバグのケースでは、PoC エクスプロイトの実行フローに対するパッチが当てられたが、根本原因の問題には対処できていなかった。したがって、攻撃者は別の経路で、元の脆弱性に戻って発動できた」と説明している。
WebKit と PetitPotam の問題は、オリジナルの脆弱性への対処が行われたが、ある時点で逆行し、攻撃者による再悪用が可能になったことで発生した。
Stone は、「セロデイ脆弱性が発見されることは、攻撃者にとって失敗である。私たちセキュリティ保護者は、できる限り多くのことを学び、そのベクターが再利用されないための行動を取ることが大切だ」と指摘している。
脆弱性を正確かつ包括的に修正するための推奨事項として、脆弱性の根本原因や侵入経路の分析、以前の類似した脆弱性の分析、採用された悪用手法やパッチの分析などが挙げられている。Stone は、「一連の分析結果を、透明性をもって共有することは、業界全体にとって有益なことだ。開発者とセキュリティ専門家は、それらのバグについて、すでに攻撃者が知っていることを深く理解し、全体として、さらに優れたソリューションとセキュリティにつなげることを期待している」と結論付けている。
最近の脆弱性で、記事となるケースがもっとも多いのは、Windows の脆弱性 Follina CVE-2022-30190 だと思いますが、以前には CVE-2021-40444 として追跡されていたとのことです。この、古い方の脆弱性 CVE-2021-40444 について、お隣のキュレーション・チームに聞いてみたところ、登場は 2021年9月であり、追加情報などを追記したレポートが 2022年1月まで続いていたとのことです。6月1日の「Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?」で解説されているように、何らかの根本的な解決が待たれる脆弱性の一種なのでしょう。その一方で、6月10の「Google Project Zero の解説:5年前の Safari の脆弱性 CVE-2022-22620 が悪用された理由」では、「大規模なリファクタリング作業中に、この亜種が再び問題となった」と解説されています。さまざまな要因により、ゼロデイとして蘇る脆弱性があることが、分かりますね。
IoT OT Security News 
You must be logged in to post a comment.