TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

ネットワークセキュリティアプライアンスの脆弱性の60%以上がゼロデイとして悪用

Rapid7の新たなレポートによると、2023年にネットワークおよびセキュリティアプライアンスで発見された脆弱性の60%以上がゼロデイとして悪用されました。

これは、パッチが公開される前に脆弱性を悪用する攻撃者の巧妙さが増しているという、より広範な傾向に沿うものです。研究者らは、2023年にはnデイ脆弱性よりもゼロデイ脆弱性に起因する大規模侵害イベントの方が多かったことを突き止めました(53%対47%)。

昨年の数値は、2022年の小休止(43%)を経て、ゼロデイ悪用が広範に見られた2021年の水準(52%)へ回帰したことを示しています。

Rapid7のVulnerability Intelligence(脆弱性インテリジェンス)ディレクターであるケイトリン・コンドン氏は次のようにコメントしました。「当社のデータは、ゼロデイ攻撃における『当時』と『現在』の分岐点が2021年であったことを示しています。それ以降、当社が数年前から追跡を開始した、脆弱性の開示から悪用までの日数の中央値は、年次データセットに含まれるCVE全体で一桁の日数にとどまっています。主要な脆弱性の広範な悪用は、注目すべき出来事から、基準となる想定へと移行しました。」

Widespread common vulnerabilities and exposures (CVEs) 2020-2023. Source: Rapid7
広範に悪用された共通脆弱性識別子(CVE)2020-2023。出典:Rapid7

大規模侵害イベントは、脆弱性が悪用され、多様な業種や地域にまたがる多数の組織が侵害される場合に発生します。

より周到に計画され、統制された攻撃

レポートでは、例年同様、2023年に発見された脆弱性全体において、ゼロデイ攻撃と広範な悪用が引き続き一般的であったことが示されました。

しかし、2023年初頭以降、これらの大規模侵害イベントの多くが実行される方法には「顕著な変化」が見られます。高度に統制されたゼロデイ攻撃に由来する、広範な脅威の共通脆弱性識別子(CVE)が全体の約4分の1(23%)を占め、しばしば単一の攻撃者によって数百の組織が侵害されました。

2023年以前、Rapid7は、広範な侵害イベントにおける最も一般的な攻撃パターンは、低スキルの攻撃者による初期の一斉エクスプロイト試行の波に続き、より巧妙なランサムウェアグループおよび/またはAPTによる悪用が行われるというものだったと述べています。このアプローチは「多くの攻撃者、多くの標的」と呼ばれていました。

2023年初頭以降、初期悪用が単一の意欲的な脅威アクターによって統制され実行された大規模侵害イベントには、次のようなものがありました。

  • Clopランサムウェアギャングが、新たなゼロデイエクスプロイトを通じて、MOVEitおよびGoAnywhere MFTのファイル転送ソリューションを標的にした事例。これらの周到に計画された攻撃により、世界中の数百の組織でデータの持ち出しと恐喝が発生しました。
  • 単一の脅威アクターがゼロデイのコマンドインジェクションエクスプロイトを用いて、Barracuda NetworksのEmail Security Gateway(ESG)アプライアンスを多数侵害した事例。
  • Ivanti製品のゼロデイ脆弱性を標的とした、中国のAPTとみられるキャンペーンにより、脆弱なデバイスが大規模に悪用された事例。

コンドン氏は次のように述べました。「これは、成熟し、よく組織化されたサイバー犯罪エコシステムが機能していることを示しており、アクセス獲得、永続化の確立、検知回避のための仕組みがますます高度化しています。

「データが示しているのは、複数年にわたる傾向の激化を私たちが経験しているということです。これまで以上に、重要な技術に対してゼロデイのパッチ適用手順を実装することが鍵となります。」

2023年初頭以降、広範に悪用された脆弱性の3分の1超(36%)がネットワーク境界(ペリメータ)技術で発生しており、前年からほぼ倍増しています。

研究者らはまた、過去数年の広範に悪用されたCVEの大半が、コマンドインジェクションや不適切な認証といった、容易に悪用可能な根本原因に起因しており、メモリ破損エクスプロイトからシフトしていることを観察しました。

さらに、Rapid7が2023年に観測したインシデントの41%は、インターネットに公開されたシステム、特にVPNや仮想デスクトップインフラにおける多要素認証(MFA)の未導入または未強制が原因でした。

ソフトウェアベンダーにおける後退的な慣行

研究者らは、大規模侵害につながる脆弱性エクスプロイトの性質が進化していることが、ソフトウェア開発者の間に「後退的な慣行」を誘発していると述べました。

これには、ベンダーがアドバイザリやCVEの説明を数日から数週間にわたり黙って差し控える傾向の拡大が含まれます。たとえ情報が公開されても、根本原因や攻撃ベクトルなどの脆弱性の詳細を意図的に曖昧化しているように見えるケースが多いといいます。Rapid7によれば、これは不透明さが敵対者を抑止し、評判リスクを軽減するという誤った信念による可能性が高いとのことです。

加えて、より広範なセキュリティ市場は、脆弱性やエクスプロイト情報をオープンに共有するのではなく、クローズドな範囲で共有する方向へ、より強く傾き始めています。

研究者らは、この問題はNational Vulnerability Database(NVD)の将来をめぐる業界の懸念によって、さらに悪化していると付け加えました。

翻訳元: https://www.infosecurity-magazine.com/news/network-security-flaws-exploited/

ソース: infosecurity-magazine.com
#NVD(National Vulnerability Database) #Rapid7レポート #VPNセキュリティ #コマンドインジェクション #ゼロデイ攻撃 #ネットワークセキュリティ機器 #ランサムウェア(Clop) #多要素認証(MFA) #大規模侵害(Mass Compromise) #脆弱性(CVE)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新