CISA KEV に登録された危険な脆弱性:現時点で合計 1,500万件がインターネットに露出している

15 million public-facing services vulnerable to CISA KEV flaws

2023/03/31 BleepingComputer — CISA の KEV (known exploitable vulnerabilities) カタログに記載されている 896件の脆弱性のうち、少なくとも1つの脆弱性の影響を受けている公共性の高いサービスが、1,500万以上も存在することが明らかになった。この膨大な数値は、国家に支援される機関やランサムウェア集団などからの、サイバー攻撃にさらされる脆弱なシステムを特定するために、サイバー・セキュリティ企業である Rezilion が実施した、大規模な調査結果の報告に基づくものである。

Rezilion の調査結果の中で特に懸念されるのは、調査対象となった脆弱性が、ハッカーたちにより積極的に悪用されていることである。さらに、CISA の KEV カタログに掲載されたことで、パッチ適用が遅れるにつれて攻撃対象が拡大し、多数の潜在的な標的を脅威アクターたちに与える点である。

攻撃にさらされる

Rezilion は、Web スキャン・サービス Shodan を利用して、CISA の KEV に追加された CVE を検索し、現時点で脆弱とされるエンドポイントを探し出した。一連のカスタム検索クエリを使用することで、研究者たちは、KEV 上の 200件の CVE に対応する、1500万もの脆弱なインスタンスを発見した。

そのうちの半数以上となる 700万インスタンスが、Microsoft Windows に関連する137件の CVE に対応するものである。したがって、それらののコンポーネントは、防御者にとって最優先で対応すべき事項であり、攻撃者にとっては格好の標的となる。

Rezilion は、Windows 以外の Top-10 の脆弱性として、以下の CVE を特定した。

Most frequently found CVEs
Most frequently found CVEs in exposed endpoints (Rezilion)

上記の脆弱性のうち、ほぼ半数は5年以上も前のものである。したがって、およそ 80万台のマシンが、かなりの期間にわたってセキュリティ・アップデートを適用していないことになる。

Rezilion は、「全体として、2010年〜2020年に発見され、 KEV に登録された CVE に関して、450万台以上のインターネットに面したデバイスが、脆弱であることが確認された」と、レポートの中でコメントしている。

これらのマシンは、パッチがリリースされた後も、何年にもわたってアップデートを適用していない。それらの脆弱性が、野放し状態で悪用されることを考慮すると、きわめて大きな問題だと言える。

Rezilion のレポートで取り上げられた、注目すべき CVE は以下の通りである:

  • Apache HTTP Server (CVE-2021-40438):Apache HTTPD サーバ v2.4.48 以前のバージョンに影響を及ぼす、Medium と評価される情報漏洩の欠陥であり、Shodan 検索では、約650万件のヒットとなる。
  • Proxyshell (CVE-2021-34473):Microsoft Exchange に影響を及ぼす3つの脆弱性のセットであり、イランの APT が2021年にリモートコード実行攻撃のために連鎖させた。Shodan 検索では、今日の時点で 14,554件がヒットしている。
  • ProxyLogon (CVE-2021-26855):Microsoft Exchange に影響を及ぼす4つの脆弱性のセットであり、ロシアのハッカーが 2021年に、米国における広範なインフラに対して悪用した。Shodanによると、ProxyLogon に脆弱なシステムは 4,990件であり、そのうちの 584件が米国内に位置している。
  • HeartBleed (CVE-2014-0160):OpenSSL に影響を及ぼす Medium レベルの脆弱性であり、プロセスのメモリから機密情報を漏洩するものである。Shodan によると、190,446件ものヒットとなる。

なお、脆弱性 CVE-2021-40438 については、1つのサーバ上に数多くの Web サイトがホストされると考えられる。そのため、この約650万件という数値は、個々のデバイスに対応するものではなく、Apache 上で動作する Web サイト/サービスの数に対応している。

Shodan results for ProxyLogon
Shodan results for ProxyLogon (Rezilion)

なお、Rezilion が推定する、1500万台の露出したエンドポイントは、重複しないものだけを取り込んだものである。また、製品バージョンを絞り込むクエリを見つけることができなかったケースを除外するという、控えめな数値であることを強調しておく。

また、Rezilion は、「今回の調査では、Shodan にビルトインされた CVE 検索たけに頼るのではなく、デバイス上で動作するソフトウェアのバージョンを特定するための、カスタム検索クエリを作成した」と BleepingComputer に述べている。

Rezilion の Director of Vulnerability Research である Yotam Perkal は、「一部の脆弱性については、Shodan の固有タグを使用しているが、ほとんどのケースにおいて、影響を受ける全製品の脆弱なバージョンを特定した。これらのバージョンに関する兆候を、Shodan で参照可能なメタデータで識別するための、カスタムな shodan クエリを設計し、独自の分析を実施した」と、BleepingComputer に説明している。

悪用される可能性

Rezilion は、脆弱性悪用の試みを監視/分類する、Greynoise のデータを使用している。最も悪用された脆弱性リストのトップは CVE-2022-26134 であり、1,421件の脆弱性が、この1ヶ月で 816回も悪用を試みられたと、GreyNoise な述べている。

Greynoise exploitation graph for CVE-2022-26134
Greynoise exploitation graph for CVE-2022-26134 (Rezilion)

この、Atlassian Confluence Server/Data Center 存在する深刻な脆弱性は、脆弱なインスタンス上でリモート攻撃者に対して、Object-Graph Navigation Language の実行を許してしまうものだ。

この他にも、GreyNoise の調査によると、FortiOS デバイスに影響を及ぼす、未認証での任意ファイル読み込みの 脆弱性 CVE-2018-13379 (331件の実績) や、Log4J2 のコードの脆弱性 (1ヶ月で66件の悪用施行)、Log4Shell などの脆弱性が上位にランキングされている。

KEV flaws drawing the most exploitation attempts
KEV flaws drawing the most exploitation attempts

これらの脆弱性に対して、すべてにパッチ適用することは、これらのリスクに対する明白な解決策である。

しかし、そのような作業が組織にとって困難である場合には、環境内の深刻な脆弱性に対して優先順位を付けるという対策もあれば、ファイアウォールで保護するという対策もある。

Rezilion によると、Microsoft Windows/Adobe Flash Player/Internet Explorer/Google Chrome/Microsoft Office/Win32k の脆弱性は、CISA の KEV カタログの 25% を占めているだ。したがって、それらの製品への対応が、適切な出発点になるだろう。

詳しくは、CISA KEV ページに書いていますが、このリストに掲載された 脆弱性は、米国の連邦政府機関に対する強制的な是正を求めるものとなります。ただし、民間の組織に対して有効な情報であるため、その利用が推奨されているという背景があります。しかし、今日の記事に記されているように、数多くの CISA KEV 脆弱性が放置され、インターネットに露出しているようです。パッチ適用の優先順位を決める際に、この CISA KEV を、ぜひ、ご利用ください。

%d bloggers like this: