Adobe, Apple, Cisco, Microsoft Flaws Make Up Half of KEV Catalog
2022/12/30 DarkReading — 2021年11月に、米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのが、活発に悪用されている脆弱性を、連邦政府機関や重要インフラ組織が特定/是正するための Known Exploited Vulnerabilities (KEV) カタログである。Grey Noise が発表した GreyNoise Mass Exploits Report によると、CISA は 2022年1月〜11月末に 58回の更新を行い、548件の新たな脆弱性をカタログに追加している。2021年11月/12月に追加された約300件の脆弱性を含めると、このカタログが始まってからの1年間で、CISA は約850件の脆弱性をリストアップしたことになる。
Grey Noise の調査によると、Microsoft/Adobe/Cisco/Apple に存在し、アクティブに悪用される脆弱性は、2022年の KEV カタログの更新の半分以上を占めていることになる。また、KEV カタログの更新のうち 77% は、2022年より以前の古い脆弱性だった。
Grey Noise の VP of Data Science である Bob Rudis は「脆弱性の多くは、過去 20年間に公表されたものだ」と指摘している。
Cyber Security Works の分析チームによると、KEV カタログに掲載されている脆弱性のいくつかは、すでに EOL (End of Life) や EOSL (End of Service Life) になっている製品に関するものだという。Windows Server 2008 と Windows 7 は EOSL 製品であるが、それぞれの脆弱性は 127件と 117件であると、KEV カタログは物語っている。
Cyber Security Works (CSW) は Decoding the CISA KEV Report で、「これらの古い脆弱性が、CISA KEV の一部にあるという事実は、これらのレガシー・システムを多くの組織が使用し続け、攻撃者の格好の標的になっていることを示唆している」と述べている。
このカタログの本来の対象は、重要インフラや公共分野の組織だったが、現在では、攻撃者に悪用されている脆弱性を特定するための、権威ある情報源となっている。なぜなら、2022年に National Vulnerability Database (NVD) は、12,000件以上の脆弱性に対して CVE を割り当てたが、企業の環境に関連する脆弱性を特定するために、すべての脆弱性を評価することが、防御担当者にとって困難だからである。そして、KEV を利用する防御担当チームは、カタログに掲載されている活発に悪用されている CVE リストを利用して、優先度の高い脆弱性に対処できる。
Mozilla や MITRE などの CVE Numbering Authority (CNA) が脆弱性に CVE を付与してから、その脆弱性が NVD に追加されるまでに、若干の遅れがあるという現実を、CSW は指摘している。たとえば、2019年10月に Red Hat から CVE を受け取った Apple WebKitGTK の脆弱性 CVE-2019-8720 は、BitPaymer ランサムウェアに悪用されていたことで、2022年3月に KEV カタログに追加された。しかし、CSW レポートの締切日である 2022年11月初旬の時点で、NVD には追加されていない。
つまり、NVD に依存してパッチの優先順位を決めると、攻撃が活発な脆弱性を見逃してしまう可能性が生じる。
KEV カタログに掲載されている脆弱性において、36% がリモートコード実行の脆弱性であり、22%が特権実行の脆弱性であることを、CSW は明らかにしている。CISA のKEV カタログには、ランサムウェア・グループに関連する脆弱性が 208件、APT グループに利用されている脆弱性が 199件あったことも判明した。また、ランサムウェアと APT グループの双方で利用されている脆弱性が 104件あり、重複していることも分かった。
たとえば、Microsoft Silverlight の Medium と評価された情報漏えい脆弱性 CVE-2013-3896 は、39 のランサムウェア・グループに関連していると CSW は述べている。また、Office ドキュメントで使用される ListView/TreeView ActiveX コントロールに存在する、深刻なバッファ・オーバーフロー脆弱性 CVE-2012-0158 と、Microsoft Office に存在するメモリ破壊の脆弱性 CVE-2017-11882 は、直近ではThrip APT グループ (Lotus Blossom/BitterBug) が悪用しているが、2022年11月ころには、23 もの APT グループが悪用していたことが判明した。
2022年3月に、KEV カタログへの追加が急増したのは、2月にロシアがウクライナに侵攻した結果である。その頃のアップデートには、国家に支援された脅威アクターが、企業/政府/重要インフラ組織に対して悪用することが知られていた、レガシー脆弱性が数多く含まれていると、Grey Noise は述べている。3月にカタログに追加された脆弱性の大部分 (94%) は、2022年以前に CVE が割り当てられたものである。
CISA は、対象となる脆弱性に CVE が割り当てられ、活発に悪用され、その問題を修正する方法について明確な指針がある場合にのみ、KEV カタログを更新している。2022年においては企業の防御担当者は、ほぼ毎週というペースで、KEV カタログの更新に対応する必要があり、通常では 4~7日ごとに新しいアラートが発行されたと、Grey Noise の Bob Rudis は記している。更新の間隔が1日しかないことも多くあり、2022年に防衛担当者が更新の間に取った、最も長い休みは 17日だった。
このブログでも、CISA KEV 情報に関しては最優先で拾っていますが、そのきっかけになったのが、2022年3月の「CISA の脆弱性カタログ:悪用という現実に基づく素晴らしい出発点」という記事です。それから9ヶ月が経ち、かなりの数の CISA KEV 情報を溜め込むことができました。文中で、NVD に関するトピックが提供されていますが、それと比べて CISA KEV は、脆弱性情報を使う側からの取り組みだと思えます。よろしければ、2022年11月12日の「CVE 管理は主要な戦略ではない:攻撃者が用いる手口に注目すべきだ」も、ご参照ください。また、この記事のベースになっているレポートは、以下となります。
Grey Noise “GreyNoise Mass Exploits Report“
CSW wrote in its “Decoding the CISA KEV”
IoT OT Security News 
You must be logged in to post a comment.