ボットネット、脆弱性と設定ミスを突いてクラウド攻撃を強化

出典: BeeBright / Shutterstock

既知かつ強力な一連のボットネットが、PHPサーバー、IoTデバイス、クラウドゲートウェイなどWebに公開された資産に対する攻撃を強化し、ネットワークリソースの制御を獲得し、自らの悪意ある活動をさらに強化しようとしています。

これらのシステムやデバイスは、Mirai、Gafgyt、およびMoziボットネットによる、既知の脆弱性やクラウドの設定ミスを悪用した自動化キャンペーンによって、脅威が増大しています。攻撃者がリモートコード実行（RCE）攻撃を仕掛けたり、データを流出させたり、サーバーをさらなるマルウェア配布の手段に変えたりすることを可能にするセキュリティギャップが存在していると、Qualys Threat Research Unit（TRU）は本日発表したレポートで明らかにしました。

「PHPはウェブサイトの73%以上で利用されており、企業の82%がクラウドの設定ミスに関連するインシデントを報告しているため、現代の攻撃対象領域はかつてないほど広がっています」とレポートは述べています。

この攻撃対象領域には、公開または設定ミスのあるLinuxサーバー上のAmazon Web Services（AWS）の機密認証ファイルや、古いファームウェア、脆弱なプロトコル、ハードコードされた認証情報を持つ安全でないまたはレガシーなIoTデバイスが含まれます。攻撃者はまた、公開されたAPIや設定ミスのあるサービスを通じてクラウドネイティブ環境も標的にしており、既知で重大な脆弱性を武器化しています。

実際、最近のネットワークスキャン活動では、攻撃者がボットネット活動を通じて、Google Cloud Platform（GCP）、AWS、Microsoft Azure、Digital Ocean、Akamai Cloudなどから発信される数千のソースIPを含む、著名なクラウドベースおよびネットワークサービスの数々を悪用していることがQualysによって明らかになりました。

「このパターンは、脅威アクターがしばしばクラウドリソースを悪用し、安価で一時的、または侵害されたコンピュータインスタンスを使って偵察やエクスプロイトを試み、本当の発信元を隠す方法と一致しています」とレポートは述べています。

Web、IoT、クラウドへの脅威

例えばPHPは、特にWordPressなどの人気コンテンツ管理システム（CMS）内で、ウェブサイトやウェブアプリケーションの基盤となるコンポーネントとなっています。しかし、その普及率の高さがボットネットにとって魅力的な標的となっており、多くの導入環境では、古いバージョンやプラグイン、設定ミスのあるファイル権限、本番環境で有効化されたままのデバッグコンポーネント、安全でないファイルストレージなど、さまざまなセキュリティ上の問題が存在しているとQualysは指摘しています。

さらに、パッチが適用されていない場合、RCEやデータ侵害の侵入口となり続ける重大な脆弱性も存在します。これらの代表的な脆弱性には、マルチランゲージサポートが有効なアプリケーションに影響するThinkPHPフレームワークの重大なRCE脆弱性であるCVE-2022-47945、攻撃者が任意のコードを実行できるLaravelアプリケーションに影響するCVE-2021-3129、RCE脆弱性、そしてPHPアプリケーションで広く使われているテストフレームワークPHPUnitの長年の脆弱性で、認証されていない攻撃者がリモートで任意のコードを実行できるCVE-2017-9841、長期にわたる脆弱性などがあります。

IoTデバイスもまた、既存の脆弱性を突いたボットネットによる大きな攻撃を受けているとQualysは指摘しています。例えばMiraiやMirai系ボットネットは、TBK DVR-4104およびDVR-4216デバイスに影響するファームウェアロジックの不備に起因する重大なコマンドインジェクション脆弱性CVE-2024-3721を現在悪用しています。Miraiの亜種は、MVPower TV-7104HE DVRデバイスの設定ミスも標的にしており、認証されていないユーザーがHTTP GETリクエストを通じて任意のシステムコマンドを実行できるバックドアが組み込まれています。

最後に、クラウドネイティブ環境も、ボットネットによる悪用を許す設定ミスやその他の問題に引き続き悩まされています。特にMiraiなどは、公開されたAPIや設定ミスのあるサービスを利用して、クラウドリソースをさらなる悪意ある活動のためのインフラに変えています。

研究者によれば、最近特に攻撃を受けている主な脆弱性の一つがCVE-2022-22947、Spring Cloud Gatewayの重大なRCE脆弱性です。この脆弱性は、認証されていない攻撃者が/actuator/refreshエンドポイントへの細工されたリクエストを通じて任意のコードを実行できるものです。

セキュリティのベストプラクティスを採用する

組織全体で公開されたWeb資産に対するボットネット活動の脅威が高まっていることを受け、Qualysは侵害を回避し、攻撃者が組織のインフラを悪意ある活動に利用するのを防ぐためのセキュリティベストプラクティスを提案しています。

明白ではありますが、多くの組織が未だに苦労している推奨事項の一つは、すべてのソフトウェア依存関係、ライブラリ、フレームワークを定期的に更新し、脆弱性を修正することです。コンテナ化された環境では、Qualysは常に最新のベースおよびアプリケーションバージョンでイメージを再構築すべきだと述べています。

また、防御側は、本番環境で開発・デバッグツールを削除または無効化することで攻撃対象領域を減らすことができます。多くの悪用された脆弱性は、これらのツールが本番環境で無効化されていないことが原因で存在しているとレポートは指摘しています。

組織はまた、機密ファイルやシークレットを保護するための追加措置を講じ、プレーンテキストファイルで保存するのを避けるべきです。これは明白ですが、悪用につながる一般的なミスでもあるとQualysは指摘しています。代わりに、AWS Secrets ManagerやHashiCorp Vaultのようなマネージドストアを利用すべきです。