Palo Alto Unit 42 の調査:脆弱性が公表された 15分後には悪意のスキャンが始まる

Hackers scan for vulnerabilities within 15 minutes of disclosure

2022/07/26 BleepingComputer — この新しいレポートにより、脅威アクターたちは新しい CVE が公開されてから 15分以内に、脆弱なエンドポイントをスキャンしていることが明らかになった。Palo Alto Unit 42 の 2022 Incident Response Report によると、ハッカーたちは常にソフトウェ・アベンダーの掲示板を監視し、企業ネットワークへのイニシャル・アクセスやリモートコード実行に利用できる、新しい脆弱性の告知を探し求めているようだ。つまり、脅威アクターたちの脆弱性スキャンを開始するスピードが速いため、システム管理者は、脆弱性が悪用される前にバグを修正する必要に迫られることになる。

同社の関連ブログポストでは、「2022 Attack Surface Management Threat Report では、CVE が発表されてから 15分以内に、攻撃者たちは脆弱性のスキャンを開始することが一般であると判明した」と述べている。

こうしたスキャンは、特に難しいものではないため、スキルの低い攻撃者であっても、インターネット上で脆弱性のあるエンドポイントをスキャンできる。その結果として、悪用方法を知っている能力の高いハッカーが、ダークウェブ市場でスキャン結果を購入するという流れができる。そして、数時間のうちに、最初のアクティブな悪用の試みが観察され、多くの場合において、パッチを適用できなかったシステムが攻撃される。

Unit 42 が挙げる例には、F5 BIG-IP 製品に影響を及ぼす、未認証でリモートコマンドを実行できる、深刻な脆弱性である CVE-2022-1388 がある。この脆弱性は、2022年5月4日に公開されたが、Unit 42 によると、CVEの発表から 10時間が経過するまでの間に、2,552件のスキャンと悪用の試行が記録されている。

つまり、防御側と悪意の行為者の間には競争が存在し、年を追うごとに双方とも時間を短縮している。

2022年に最も悪用される欠陥

Palo Alto が収集したデータによると、2022年上半期に最も悪用されたネットワーク・アクセスに関連する脆弱性は、ProxyShell のエクスプロイト・チェーンであり、記録された悪用インシデント全体の 55% を占めている。ProxyShell は、3つの脆弱性である CVE-2021-34473/CVE-2021-34523/CVE-2021-31207 を連鎖させる攻撃となる。

2位は Log4Shell の 14% であり、それに続き、SonicWall の各種 CVE が 7%/ProxyLogon が 5%/Zoho ManageEngine ADSelfService Plus が 3% となっている。

Most exploited flaws in H1 2022 (Unit 42)

これらの統計から明らかにされるように、悪用された脆弱性の数でみると、最新のものよりも、半永久的に使用されているものが多くなっている。その理由としては、攻撃対象領域の広さや、悪用の複雑さ、現実的な影響などの要因がある。

管理者によるセキュリティ・アップデートを迅速に行われる、より価値のある、より保護されたシステムでは、ゼロデイ脆弱性などの公開直後に攻撃が生じる率が高くなる。

また、Unit 42 によると、最初のネットワーク侵入の際に、ソフトウェアの脆弱性を悪用するという方法が、全体の 3分の1 ほどを占めていることも注目すべきだ。

また、37% のケースにおいて、最初のアクセスとしてフィッシングが好まれるというデータも挙げられている。また、ハッカーがネットワークに侵入する方法としての、ブルートフォース攻撃や漏洩した認証情報の悪用は 15% だった。

How attackers achieved initial access in H1 2022 (Unit 42)

また、特権を持つ従業員に対してソーシャル・エンジニアリングの手法を用いるケースや、インサイダーの買収による不正アクセスのケースは、インシデント全体の 10% に相当する。

時間との戦い

システム管理者/ネットワーク管理者/セキュリティ専門家たちは、最新のセキュリティ脅威や OS の問題に対応するために、すでに大きなストレスにさらされ、脅威アクターによる攻撃スピードの上昇により、さらにプレッシャーが生じている。

そのため、可能な限り各デバイスをインターネットから隔離し、VPN などのセキュリティ・ゲートウェイを経由してのみ、デバイスを公開することが極めて重要となる。管理者は、サーバーへのアクセスを制限することで、悪用されるリスクを低減するだけではなく、インサイダーによる脆弱性への攻撃が始まる前に、セキュリティ・アップデートを適用するための時間を確保できる。

残念ながら、一部のサーバは一般に公開する必要があるため、管理者はアクセス・リストにより可能な限りセキュリティを強化し、必要なポートやサービスのみを公開し、可能な限り迅速にアップデートを適用する必要がある。

重要なアップデートを迅速に適用することで、副作用としてのダウンタイムが生じる可能性があるが、本格的なサイバー攻撃を受けるよりは、はるかにましである。

脆弱性が公表されてから、25分でスキャンが始まるとは驚きですね。また、BIG-IP の脆弱性 CVE-2022-1388 のケースでは、CVE の発表から 10時間が経過するまでの間に、2,552件のスキャンと悪用の試みが記録されたとのことです。つまり、スキャンから攻撃へのタイムラグも、どんどんと短縮されているわけです。2月8日の QBot に関する記事ですが、Outlook からの電子メール窃取を 30分で、隣接するワークステーションへの移動を 50分で済ますと解説されていました。頭がクラクラしてきます。

%d bloggers like this: