2020年冬のネットワーク攻撃傾向『脅威のインターネット』(2020年11月〜2021年1月)

By , and

Category: Unit 42

Tags: , , , , , , ,

This post is also available in: English (英語)

概要

Unit 42のリサーチャーは、2020年冬のネットワーク攻撃の動向を分析し、多くの興味深いエクスプロイトが実際に拡散していることを発見しました。2020年11月から2021年1月の期間に、確認された攻撃のほとんど(75%)はcritical(重大)として分類されました(2020年秋に、この比率は50.4%でした)。CVE-2020-28188CVE-2020-17519CVE-2020-29227など、新たに確認された複数のエクスプロイトが出現し、2020年後半から2021年前半の時点で実際に継続的に悪用されていました。

本ブログでは、新たに確認されたエクスプロイトに加えて、エクスプロイトの分析、ベンダーの分析、攻撃の発生地域と攻撃カテゴリの分布について詳述します。

パロアルトネットワークスの次世代ファイアウォールをご使用のお客様は、WildFireURLフィルタリングのセキュリティサブスクリプションによってこれらの攻撃から保護されています。

データ収集

Unit 42のリサーチャーは、パロアルトネットワークスの次世代ファイアウォールを境界センサーとして利用することによって、2020年11月から2021年1月にかけて無害なトラフィックから悪意のあるアクティビティを分離しました。次に、IPアドレス、ポート、タイムスタンプなどのメトリックに基づいて、悪意のあるトラフィックをさらに処理しました。これにより、各攻撃セッションの一意性を特定して、潜在的なデータの偏りを排除しました。次に、Unit 42のリサーチャーは、処理済みのデータを、攻撃カテゴリやベンダー分析などの他の属性と相関させて、時間の経過に伴う攻撃の動向を推測し、脅威の状況を把握しました。

2020年冬のネットワーク攻撃の深刻度

609万件のネットワーク トラフィック トリガーから、informational(通知)とlow(低)の深刻度に分類されたシグネチャを使用して、スキャンやブルートフォースの試みを検出しました。弊社は、(CVSS v3スコアに基づいて)深刻度がmedium(中)以上の悪用可能な脆弱性を検証済みの攻撃とみなします。

分析されたネットワーク トラフィック トリガーの分布を示す円グラフの画像。75%が「Critical(重大)」、10.7%が「High(高)」、14.3%が「Medium(中)」の深刻度と分類されています。
図1 2020年11月~2021年1月の攻撃の深刻度分布

上記の609万件のネットワーク トラフィック トリガーのうち、合計347万件のセッションが実際の攻撃です。 表1は、さまざまな脆弱性の深刻度を持つ攻撃のセッション数と比率を示しています。前回の分析結果と同様に、深刻度がcritical(重大)な脆弱性の悪用は増加傾向にあります。

深刻度

セッション数 比率
Critical (重大) 2,602,996 75.0%
High (高) 369,597 10.7%
Medium (中) 495,969 14.3%

表1 2020年11月~2021年1月の攻撃の深刻度分布率

ネットワーク攻撃の発生時期

「Severity Distribution Bi-Weekly(隔週の深刻度分布)」という表題の棒グラフの画像。このグラフは、縦方向に6つのグループに分かれています。X軸には、2020年11月1日から2021年1月15日までの日付のラベルが表示されています。各グループの間隔は、2週間です。Y軸には、「Severity Count(各深刻度の件数)」というラベルが表示されています。2020年11月16日の日付に対する2番目のグループでは、深刻度が「Critical(重大)」の件数が最も多くなっています。
図2 2020年11月~2021年1月の隔週で測定した攻撃の深刻度分布

このネットワーク攻撃動向分析では、2020年11月から2021年1月までのデータを収集し、critical(重大)に分類される攻撃が最も多いことが判明しました。また、攻撃者は、過去1年以内に公開された比較的新しい脆弱性や、2017年から2020年にかけて実際に悪用された脆弱性を頻繁に利用していました。 このことは、直近で発見された脆弱性からの保護のために、利用可能になり次第セキュリティパッチを適用することがいかに重要かを物語っています。

「CVE Year Distribution Bi-Weekly(隔週のCVE悪用の年間分布)」という表題の棒グラフの画像。このグラフは、縦方向に6つのグループに分かれています。X軸には、2020年11月1日から2021年1月15日までの日付のラベルが表示されています。各グループの間隔は、2週間です。Y軸には、「CVE Year Count(CVE悪用の年間件数)」というラベルが表示されています。2000年11月16日に対する2番目のグループでは、深刻なCVE悪用件数が最も高くなっています(このグループ内では、2017年~2018年と2019年~2020年が、それ以前の年に比べて特に高くなっています)
図3 悪用されたCVEが公開済みの攻撃について、各年に確認された件数の内訳、2020年11月から2021年1月に隔週で測定

2020年冬に特に悪用された脆弱性

2020年11月から2021年1月にかけてキャプチャした攻撃セッションの攻撃パターンに基づき、脅威の現状において確認された特に一般的な脅威を基準として表2でベンダーをランク付けしました。攻撃者は、さまざまなソフトウェアとハードウェアに関連する大きな顧客基盤を理由として、悪用するCVEを選択する傾向が強い点に注意することが重要です。

ランキング       ベンダー名        一般的な脆弱性
1 Linksys CVE-2017-17411, CVE-2014-8244
2 D-Link CVE-2019-16920, CVE-2019-19597, CVE-2019-13372, CVE-2018-19986, CVE-2015-2051,

CVE-2013-7389, CVE-2013-1599, CVE-2013-7471

3 ThinkPHP CVE-2018-20062, CVE-2019-9082
4 Drupal CVE-2020-13671, CVE-2019-6340, CVE-2018-9205, CVE-2018-7600, CVE-2018-7602, CVE-2014-3704
5 WordPress CVE-2020-27615, CVE-2020-25213, CVE-2020-5766, CVE-2020-12800, CVE-2020-11738, CVE-2020-11732, CVE-2019-8942, CVE-2019-9881, CVE-2019-9879, CVE-2019-14205, CVE-2019-9880, CVE-2018-9118, CVE-2018-7422
6 Thinkcmf https://github.com/taosir/wtcms/issues/12
7 VBulletin CVE-2020-17496, CVE-2020-12720, CVE-2019-16759, CVE-2015-7808
8 Joomla! CVE-2020-23972, CVE-2018-7482, CVE-2018-7314, CVE-2018-6605, CVE-2017-5215, CVE-2016-8869, CVE-2015-8562
9 PHPUnit CVE-2017-9841
10 HP CVE-2017-12542, CVE-2014-2617
11 MikroTik CVE-2018-14847
12 Microsoft CVE-2020-0796, CVE-2020-1350, CVE-2020-1472, CVE-2019-0606, CVE-2019-0708, CVE-2017-0147, CVE-2017-0144, CVE-2015-1635
13 Apache CVE-2020-17519, CVE-2020-17530, CVE-2020-13942, CVE-2020-11975, CVE-2020-1957, CVE-2019-17554, CVE-2019-0193, CVE-2019-0232, CVE-2019-0192

表2 2020年11月~2021年1月に被害を受けた上位13のベンダーのランキング

関連するネットワーク攻撃カテゴリの分布

セッションベースの攻撃カテゴリの分布の概要を示す棒グラフの画像。コード実行が、46.4%の最大の比率を占めています。
図4 2020年11月~2021年1月の攻撃カテゴリの分布

図4は、セッションベースの攻撃カテゴリの分布を示しています。アクセス性と悪用の可能性に関する詳細を確認する必要があったため、攻撃カテゴリを分類することによってネットワーク トラフィック トリガーの比率を計算しました。コード実行は攻撃の46.6%を占めています。このことは、ネットワークにおいて、このカテゴリのリスクが高いことを示しています。コード実行と特権昇格の両方を含むカテゴリは、攻撃の17.3%を占めています。このことは、攻撃者がルート特権を取得できた場合、悪用が深刻になることを示しています。SQLインジェクションは攻撃の9.9%を占めています。このことは、攻撃者が機密データを入手し、より広範なアクセスを取得し、エクスプロイトチェーンを確立して、リモートコード実行などのより強力な攻撃を試み続けていることを示しています。

最新の攻撃: 実際に拡散しているエクスプロイト

深刻度がmedium(中)を超える監視対象のすべての攻撃の中で、以下の9つのエクスプロイトは、2020年のcritical(重大)な深刻度と全体的な感染率のために、特に注目に値します。これらは、攻撃者が関心のあるターゲットを侵害するために、新しいツールや戦術を速やかに、かつ効率的に採用していることを示しています。弊社は、以下のエクスプロイトを、(発見と公開の日付に基づいて)実際にキャプチャされた最新の脆弱性とみなしています。

CVE-2020-28188

TerraMasterオペレーティングシステムのPHPページ /include/makecvs.phpは、コマンドインジェクション攻撃に対して脆弱です。この脆弱性に対して、攻撃者は、makecvs PHPページのeventパラメータを悪用するペイロードを送信することができます。悪用に成功した後に、攻撃者はサーバーのすべての制御を取得できます。詳細は、「図5」を参照してください。

攻撃者がmakecvs PHPページでeventパラメータを悪用するために送信するペイロードのコードビューを示す画像。
図5 TerraMaster TOSのコマンド実行脆弱性

CVE-2020-17519

この脆弱性の原因は、Apache Flinkのorg.apache.flink.runtime.rest.handler.cluster.JobManagerCustomLogHandlerクラスで、ユーザーが入力するファイルパスが適切にチェックされないことにあります。認証されていないリモート攻撃者は、ディレクトリトラバーサル要求を簡単に作成して送信することにより、任意のファイル形式の機密情報に対してアクセスを取得できます。エクスプロイトのサンプルを図6に示します。

Apache Flinkのディレクトリトラバーサル脆弱性を示すコードビューの画像。
図6 Apache Flinkのディレクトリトラバーサル脆弱性

CVE-2020-29227

Car Rental Management System 1.0には、ローカル ファイル インクルージョン脆弱性があります。この脆弱性を利用して、攻撃者はindex.phpファイルのpageパラメータを制御できます。攻撃者はNullバイト(%00)インジェクションを通じて任意のファイルへのアクセスを取得できます。図7には、実際に拡散しているエクスプロイトを示します。

コードビューの画像
図7 Car Rental Management Systemのファイル インクルージョン脆弱性

CVE-2020-17530

この脆弱性の原因は、OGNL式で利用できるクラスとパッケージの制限が不十分であることです。攻撃者は、作成した要求を送信して、OGNL式の倍精度計算上の問題を発生させることにより、リモートコード実行(RCE)を可能にします。詳細は図8に示します。

Apache Strutsでリモートコード実行脆弱性が悪用された場合の結果のコードビューを示す画像
図8 Apache Struts OGNLのリモートコード実行脆弱性

CVE-2020-13942

RCE脆弱性の原因は、プロファイルプロパティのフィルタリング条件を処理するときに、OGNL式とMVEL2式の検証が不十分であることです。攻撃者は、この脆弱性を利用して、プロファイルプロパティをターゲットとする要求を作成して送信することができます。この攻撃が成功すると、攻撃者は任意のコードを実行して、システムに対する制御を取得することができます。図9は、弊社のシステムでキャプチャされた攻撃を示しています。

Apache UnomiでRCE脆弱性が悪用された場合の結果のコードビューを示す画像
図9 Apache Unomiのリモートコード実行脆弱性

CVE-2020-14882CVE-2020-14883CVE-2020-14750

Oracle WebLogic ServerのHandleFactoryクラス内のgetHandleメソッドとMBeanUtilsInitSingleFileServletクラス内のserviceメソッドでは、ユーザーによって入力されるデータが適切にサニタイズされません。攻撃者がこの脆弱性を悪用すると、リモートコード実行が可能になります。図10に、このエクスプロイトの例を示します。

WebLogic Serverのリモートコード実行脆弱性が悪用された場合の結果のコードビューを示す画像
図10 Oracle WebLogic Serverのリモートコード実行脆弱性

CVE-2020-14864

Oracle Business Intelligence Enterprise Editionには、パストラバーサル脆弱性があります。この脆弱性を利用すると、攻撃者はgetPreviewImage関数のpreviewFilePathパラメータをターゲットとして、管理者の権限で任意のシステムファイルへのアクセスを取得できます。図11には、この特定の攻撃を示します。

Oracle Business Intelligenceのパストラバーサル脆弱性が悪用された場合の結果のコードビューを示す画像
図11 Oracle Business Intelligenceのパストラバーサル脆弱性

CVE-2020-27615

WordPressのLoginizerプラグインには、SQLインジェクション(SQLi)脆弱性があります。入力のサニタイズが行われないため、攻撃者は、サニタイズされないデータベース要求をloginizer_login_failed関数に送信して、機密情報へのアクセスを取得することができます。弊社のシステムでのライブ攻撃キャプチャを図12に示します。

WordPress LoginizerプラグインのSQLインジェクション脆弱性が悪用された場合の結果のコードビューを示す画像
図12 WordPress LoginizerプラグインのSQLインジェクション脆弱性

CVE-2020-13671

Improper sanitizationDrupalコアでファイル名の拡張子に対するサニタイズが不適切であり、二重の拡張子が適切にチェックされないため、攻撃者は不適切な拡張子のファイルをアップロードすることができます。このようなファイルは、誤ったMIMEタイプとして動作するか、サーバーの特権で実行される可能性があります。図13aと図13bは、このエクスプロイトを示しています。

Drupalの二重拡張子の脆弱性が悪用された場合の結果のコードビューを示す画像
図13a.Drupalの二重拡張子の脆弱性
Drupalの二重拡張子の脆弱性が悪用された場合の結果のコードビューを示す画像
図13b.Drupalの二重拡張子の脆弱性

攻撃の起点

各ネットワーク攻撃の発生地域を特定したところ、ロシア、米国、中国の順に多数の攻撃が発見されました。ただし、弊社は、攻撃者が上記の国に設置されたプロキシサーバーやVPNを利用して、実際の物理的な場所を隠蔽している可能性があることを認識しています。

Y軸に国、X軸に攻撃回数を示した棒グラフの画像。ロシア、米国、中国の順で、攻撃回数が多くなっています。
図14 2020年11月~2021年1月に確認された攻撃の発生頻度に関する国のランキング (対数表示)

「Attacker Geographical Location Distribution(攻撃者の地域分布)」という表題の地図の画像。色の濃い部分が上位の国(ロシア、米国、中国)を示しています。
図15.2020年11月~2021年1月の攻撃の地域分布

結論

2020年冬のネットワーク攻撃動向データによると、攻撃者は簡単に導入でき、かつ新たに公開されたエクスプロイトを優先的に悪用しています。攻撃者は、武器化された既製のエクスプロイトを常備する一方で、新たに公開された脆弱性やそれに関連する概念実証を利用して武器を増やし続けます。したがって、組織は定期的にパッチを適用し、最善のセキュリティ対策を実施する必要があります。

パロアルトネットワークスのお客様は、次世代ファイアウォールと以下のセキュリティサブスクリプションで導入された保護機能により、当社の製品スイート全体で保護されます。

弊社は、サイバー攻撃の成功が最適に検出・防止されるようパロアルトネットワークス製品を確実に設定するために、ベストプラクティスを採用することをお勧めします。