Edge services are extremely attractive targets to attackers
2024/06/18 HelpNetSecurity — CISA の KEV (Known Exploited Vulnerability) カタログに掲載されている、すべてのエッジ・サービス/インフラに関連する脆弱性の 64%は、EPSS スコア (悪用の可能性に基づいて CVE をスコア化する指標) における 97.5パーセンタイル以上のレベルに存在している。この条件を、KEV に掲載されている他の脆弱性に当てはめてみると、97.5パーセンタイルを上回るものは 23%に過ぎない。さらに、過去2年間に KEV に追加されたエッジ・サービス/インフラの脆弱性の深刻度 (CVSS 値) は、他の脆弱性と比べて平均で 11%も高い。
2024年に KEV に追加されたエッジ・サービス/インフラの CVE 件数は、2023年に比べて月当たり 22%増加しているが、KEV に追加された他の CVE 件数は、2023年に比べて月当たり 56%減少している。
最近に発表された、いくつかの報告は、ランサムウェアのインシデントの主要なベクターとして、大規模な情報窃取がボットネットを抜いたという可能性が示唆されている。
それを裏付けるかのように、最近の傾向として、脆弱なソフトウェアを悪用する大規模なセキュリティ・インシデントが急増している。具体的な事例としては、MOVEit/CitrixBleed/Cisco XE/Fortiguard FortiOS/Ivanti ConnectSecure/Palo Alto PAN-OS/Juniper Junos/ConnectWise ScreenConnect などが挙げられる。
攻撃者たちにとって、エッジ・サービスは極めて魅力的なターゲットである。それらのサービスは、リモート・ユーザーに重要なサービスを提供することを目的とし、インターネットに公開されているため、リモートの攻撃者に悪用される可能性が高い。
攻撃者にとって魅力的な標的であるインフラ機器
同様に、インフラ機器も、攻撃者にとって魅力的な攻撃対象だ。なぜなら、インフラ機器はブラックボックス状態であり、ネットワーク管理者による検査や監視が容易ではなく、EDR (Endpoint Detection and Response) ソフトウェアもインストールされていないからだ。ネットワーク管理者にとって、デバイスが安全であることを確認するのは難しく、その信頼性に頼らざるを得ないことが多い。これらのデバイスの中には、エッジ・サービスを提供しており、インターネットにアクセス可能なものもある。
WithSecure Intelligence の Senior Threat Analyst である Stephen Robinson は、「大規模な搾取インシデントの発生に唯一必要なのは、脆弱性のあるエッジ・サービス、つまりインターネットからアクセス可能なソフトウェアの一部だ」と述べている。
さらに Stephen Robinson は、「悪用されるエッジ・サービスの多くは、ファイアウォール/VPN ゲートウェイ/Eメール・ゲートウェイなどのインフラ・デバイスであり、一般的にロックダウンされたブラックボックスのようなデバイスである。このようなデバイスの大半は、ネットワークのセキュリティを高めるものであるが、何度も繰り返して脆弱性が発見され、攻撃者に悪用されてきた」と付け加えている。
WithSecure の調査によると、ランサムウェアや国家スパイ攻撃者が採用する、新たに観測された主要な攻撃ベクターは、脆弱性の大規模な悪用であるという。また、ゼロデイ脆弱性やワンデイ脆弱性を悪用するための能力と専門知識は、金銭的な動機のあるサイバー犯罪者たちにとって、これまで以上に入手しやすいものとなっている。
Robinson は、「大規模な攻撃が主要な攻撃ベクターになってきたのは、脆弱なエッジ・サービスが極めて多いからなのかもしれない。さもなければ、大量搾取の流行により、攻撃者と防御者の双方が、これまで以上に、脆弱なエッジ・サービスを意識するようになったからかもしれない」と結論付けている。
CISA KEV のデータを元にして、なんとなく誰もが感じていたことを、WithSecure が現実として突きつけてくれました。それにしても、こうして数字で見てみると、脅威アクターたちにとって、エッジ・サービスは極めて魅力的なターゲットであることを策確認してしまいます。よろしければ、WithSecure のレポートも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.