RCE on Log4j Among Top CVEs Exploited By Chinese-Backed Hackers
2022/10/07 InfoSecurity — NSA/CISA/FBI が 2022年10月6日に発表したアドバイザリによると、中国の国家に支援された脅威アクターたちが、米国/同盟国のネットワークや企業を標的とし、既知の脆弱性を悪用し続けているとのことだ。同アドバイザリには、「悪質なことに、それらの脅威アクターは、より多くの新しい技術や、適応性のある技術を使用するようになっている。その一部は IT 部門 (電気通信事業者を含む) /防衛産業基盤 (DIB:Defense Industrial Base) 部門/その他の重要インフラ組織などに、大きなリスクをもたらす」と記されている。
脅威アクターの主目的は、知的財産の窃盗/機密ネットワークへのアクセス開発だ。このことから、NSA/CISA/FBI は、彼らが仮想プライベート・ネットワーク (VPN:Virtual Private Network) を使用して活動を難解化しながら、イニシャル・アクセスを確立するために Web ベース・アプリをターゲットにし続けていることを発見した。
そして脅威アクターは、上記の脆弱性を利用して機密ネットワークに密かに不正アクセスし、永続性を確立して、内部で接続された他のネットワークへの横展開を試みる。
その一方で CISA は、2020年以降に中国の国家的支援アクターに悪用された脆弱性の Top-20 を公開している。それには、Apache Log4j (CVE-2021-44228) /Microsoft Exchange (CVE-2021-26855) /Atlassian (CVE-2022-26134) におけるリモート・コード実行 (RCE) や、VMWare vCenter Server (CVE-2021-22005) の任意のファイルのアップロードなどが含まれている。
NSA/CISA/FBI はさらに、リスク軽減のための推奨事項を挙げている:
- システムを直ちにアップデートし、パッチを適用する。CSA (Cybersecurity Advisory) が公開した脆弱性/その他の既知の悪用される脆弱性などに対して、優先的にパッチを適用する。
- フィッシングに強い多要素認証を、可能な限り利用する。パスワードによるログインを行うすべてのアカウントに強力でユニークなパスワードを設定し、パスワードが漏洩した可能性がある場合は直ちにパスワードを変更する。
- ネットワーク・エッジで、時代遅れのプロトコル/未使用のプロトコルをブロックする。
- 使用済みのデバイスをアップグレード/交換する。
- ゼロ・トラスト・セキュリティ・モデルへ移行する。
- インターネットに接続するシステムのログを堅牢にし、ログに異常がないかを監視する。
いまだに、Log4j 脆弱性の悪用が止まっていないようです。10月6日の「RDP が 89% も減少:ESET が分析する5月〜8月のデータとは?」には、「これまでの4ヶ月間 (T2) のネットワーク侵入では、依然としてパスワードの推測が最も多く (41%) 、続いて Log4j の悪用 (13%) となっている」と記されていました。7月14日の「Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する」にあるように、この問題が消え去るまでには、長い年月が必要なのかもしれません。→ Log4j まとめページ
IoT OT Security News 
You must be logged in to post a comment.