Over 60% of Network Security Appliance Flaws Exploited as Zero Days
2024/05/21 InfoSecurity — ネットワーク/セキュリティ・アプライアンスにおいて、2023年に発見された脆弱性の 60%以上が、ゼロデイとして悪用されていたことが、Rapid7 の最新レポートにより明らかになった。このレポートのデータが裏付けているのは、脆弱性に対してパッチがリリースされる以前に、攻撃者たちが悪用を開始しているケースの多さである。研究者たちによると、2023年において、N-day 脆弱性から発生したインシデント(47%) よりも、ゼロデイ脆弱性から発生した大規模な侵害 (53%) の方が僅かに多かったという 。この 53 %という割合は、2022年は 43%であったが、その前年の2021年レベル (52%) に戻ったことを示している。
Rapid7 の Director of Vulnerability Intelligence である Caitlin Condon は、「我々のデータによると、2021年がゼロデイ攻撃における “過去” と “現在” の分かれ目であったことがわかる。我々が数年前に追跡を開始した、脆弱性の公開から悪用までの日数の中央値は、2021年以降において、我々の年次データセットに含まれる CVE 全体で1桁台に留まっている。主要な脆弱性の広範な悪用は、注目すべき出来事から、基本的な予想へとシフトしている」とコメントしている。
大規模な侵害が発生するのは、脆弱性が悪用される侵害において、さらに言えば、数多くの業種や地域にまたがる多くの組織が侵害されるときだ。
攻撃の計画性と組織性の向上
同レポートによると、2023年に発見された脆弱性については、例年と同じく、ゼロデイ攻撃や広範な悪用が依然として一般的であったという。
しかし 2023年に入ってから、一部の大規模な侵害イベントの実行手段に、顕著な変化が見られた。広範な侵害の約 23% が、高度に組織化されたゼロデイ攻撃によるものであり、多くの場合において、数百の組織が単一の攻撃者により侵害されている。
広範なセキュリティ侵害インシデントにおいて、2023年以前で最も一般的だった攻撃パターンは、”many attackers, many targets” というアプローチであったと、Rapid7 は指摘している。つまり、難度の低い悪用の試みの最初の波の後に、より熟練したランサムウェア・グループや APT による悪用が続くというものだ。
2023年以降に発生した大規模な侵害のうち、単一の意欲的な脅威アクターにより、最初の悪用が計画/実行されたものとして、以下を参照してほしい:
- Clop ランサムウェア・グループは、新たなゼロデイ・エクスプロイトにより、MOVEit/GoAnywhere MFT ファイル転送ソリューションを標的とする、綿密に計画された攻撃を展開した。それにより、世界中の何百もの組織において、データの流出と恐喝が発生した。
- ある単一の脅威アクターが、ゼロデイ・コマンドインジェクション・エクスプロイトを使用して、多数の Barracuda Network の ESG (Email Security Gateway) アプライアンスを侵害した。
- 中国の APT によると思われるキャンペーンが、Ivanti 製品のゼロデイ脆弱性を狙って展開され、脆弱なデバイスが大量に悪用された。
Condon は、「攻撃者たちは、組織化されたサイバー犯罪の、成熟したエコシステムを用いており、アクセスの獲得/持続性の確立/検知回避などのためのメカニズムが、これまで以上に洗練されてきている。重要なテクノロジーに対して、ゼロデイ・パッチを適用することが、これまで以上に重要となる」と述べている。
2023年に入ってから、広く悪用された脆弱性の 36% が、ネットワーク境界技術で発生しているが、この数字は前年と比べて倍増に近い。
さらに研究者たちは、この数年間に広く悪用された CVE の大半は、コマンド・インジェクションや不適切な認証の脆弱性といった、悪用が容易な根本原因から発生しており、それまでのメモリ破壊の悪用からシフトしているとも指摘している。
さらに、Rapid7 が 2023年に観測したインシデントの 41%は、インターネットに面したシステムにおいて、特に VPN や仮想デスクトップ・インフラにおいて、多要素認証 (MFA) が欠落していることがに原因があった。
ソフトウェア・ベンダーの時代に逆行する慣行
大量の脆弱性の悪用の進化的な性質が、ソフトウェア開発者の間に “後退的な慣行” を誘発したことも、研究者たちは指摘している。
その要因には、脆弱性が発見された後にベンダーが、アドバイザリや CVE の公開を、数日後から数週間後まで保留する傾向が強まっていることも含まれる。このような情報が公表された場合でも、多くのベンダーは、根本原因や攻撃ベクター情報などの、脆弱性の詳細を意図的に難読化しているようだ。それについて Rapid7 は、「このような不明瞭さにより、攻撃者の活動が抑止され、風評リスクが軽減されるという、誤った考えによるものだろう」と述べている。
さらに、セキュリティ市場全体が、脆弱性やエクスプロイトの情報をオープンに共有する方向ではなく、クローズド・ループで共有する方向へと傾き始めている。さらに、NVD の将来に対する業界の懸念により、この問題は悪化していると、研究者たちは言及している。
いろいろと考えさせてくれる Rapid7 のレポートです。この記事では、ゼロデイがフォーカスされていますが、2023年の脆弱性と攻撃について、大きな流れと傾向を説明しているレポートのようですのでダウンロードしてみてください。よろしければ、カテゴリ Statistics も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.