ネットワークセキュリティ動向: 2022年8月~10月

A pictorial representation of a security vulnerability. It shows a checkmark on a shield within a crystal ball.

This post is also available in: English (英語)

概要

最近、2022年8月から10月にかけて野生(in the wild)で使用されているエクスプロイトを観察したところ、脅威アクターはRealtek Jungle SDKのリモートコード実行の脆弱性(CVE-2021-35394)に対する攻撃を相当数利用していることが判明しました。また、新たに公開されたBackupBuddyの任意ファイルダウンロードの脆弱性を利用したり、Bitbucketのコマンドインジェクションの脆弱性を利用したりしています。

これらのネットワークセキュリティ動向の観測結果から、概念実証(PoC)の有無や影響にもとづいて、Unit 42のリサーチャーがいくつかの攻撃を厳選しました。以下では、とくに防御側が知っておくべき内容を紹介します。

また、防御に役立つ知見も共有します。

  • 最もよく使われる攻撃テクニックのランキング、攻撃者が最近好んでいる脆弱性の種別。例: 新たに公表された5,190件の脆弱性のなかでもクロスサイトスクリプティング(XSS)に関連した脆弱性が多い(約9.8%)
  • 2億3,200万件以上の攻撃セッションを評価して得た主な脆弱性にはリモートコード実行がふくまれる
  • パロアルトネットワークスの次世代ファイアウォールから収集した実データに基づくこれら脆弱性の野生(in the wild)での悪用手法に関する洞察
  • 2022年8月~10月の主な動向
  • 最近公開された脆弱性の深刻度や攻撃起点の分布などの分析
  • 脆弱性の分類によるクロスサイトスクリプティングやSQLインジェクションなど異なる種類の脅威蔓延状況
  • 攻撃者にもっとも悪用されている脆弱性と各攻撃の深刻度、カテゴリ、攻撃起点

パロアルトネットワークスのお客様は、次世代ファイアウォール、脅威防御、WildFire、高度なURLフィルタリングなど関連するクラウド型セキュリティサービスとCortex XDRを通じ、本稿で取り上げる脆弱性からの保護を受けています。Prisma CloudのWeb Application and API Security(WAAS)とCortex XDRによる保護も提供されています。

本稿で扱うCVE CVE-2022-27925, CVE-2022-26352, CVE-2022-31474, CVE-2022-36804, CVE-2022-31499, CVE-2022-35914, CVE-2022-2486, CVE-2022-40684, CVE-2022-42889, CVE-2021-34429
本稿で取り上げる攻撃の種類と脆弱性の種別 Cross-site scripting, denial of service, information disclosure, buffer overflow, privilege escalation, memory corruption, code execution, SQL injection, out-of-bounds read, traversal, command injection, improper authentication, arbitrary file download, security feature bypass
関連するUnit 42のトピック Network Security Trends, exploits in the wild, attack analysis

目次

公開された脆弱性の分析: 2022年8月~10月
最新の脆弱性の深刻度
脆弱性カテゴリの分布
ネットワークセキュリティの動向: 実際に見られたエクスプロイトの分析: 2022年8月~10月
データ収集
野生でのエクスプロイトが確認された脆弱性の深刻度
ネットワーク攻撃の発生時期
野生のエクスプロイト: 2022年8月~10月の詳細分析
攻撃カテゴリの分布
攻撃の起点
結論
追加リソース

図表の目次

表1. 2022年8月~10月に登録されたCVEの深刻度の分布(「中」から「緊急」と評価されたもののみ)
図1. 2022年8月~10月に登録されたCVEの深刻度の分布(「中」から「緊急」と評価されたもののみ)
図2. 2022年8月~10月に登録されたCVEの脆弱性数を種類ごとに順位づけした結果
図3. 脆弱性カテゴリの分布、前四半期との比較
図4. 2022年8月~10月の攻撃の深刻度分布(「中」から「緊急」と評価された脆弱性のみ)
図5. 脆弱性深刻度の分布、前四半期との比較
図6. CVE-2021-35394への攻撃の割合(数値は最も近い百万の桁で丸め処理)
図7. 野生のエクスプロイトの深刻度分布(2022年8月〜10月 週次計測)
図8. 悪用されたCVEの公開年別の攻撃観測結果(2022年8月〜10月 週次計測)
図9. Zimbraのリモートコード実行
図10. dotCMSのリモートコード実行
図11. BackupBuddyの任意ファイルのダウンロード
図12. Bitbucketのコマンドのインジェクション
図13. Nortek Linear eMerge E3-Seriesのコマンドインジェクション
図14. GLPIのコマンドインジェクション
図15. WAVLINKのコマンドインジェクション
図16. Fortinet FortiOSの認証バイパス
図17. Apache Commonsのテキストコード実行
図18. Jettyのバイパス
図19. 攻撃カテゴリと深刻度(2022年8月~10月)
図20. 攻撃起点の頻度順ランキング(2022年8月~10月)
図21. 攻撃起点の分布、前四半期との比較
図22. 攻撃起点の地域的分布(2022年8月〜10月)

公開された脆弱性の分析: 2022年8月~10月

2022年8月から10月にかけ、合計で5,190件のCVE (Common Vulnerabilities and Exposures) 番号が新たに登録されました。新しく公開されたこれらの脆弱性がネットワークセキュリティに与える潜在的な影響についての理解を深めるため、深刻度、動作する概念実証(PoC)コードの有無、脆弱性カテゴリにもとづいた見解を示します。

最新の脆弱性の深刻度

脆弱性の潜在的影響を見積もるには、その深刻度について検討し、攻撃者が容易に使える信頼性の高いPoCの有無を調査します。私たちがPoCを見つけるために利用している公開ソースは、Exploit-DB、GitHub、Metasploitなどです。深刻度のスコアが「中」以上に設定されている5,190件のCVEの分布は、以下の表の通りです。

深刻度 件数 比率 前四半期からの比率の変化 (%) PoCの可用性 PoCの可用性の変化
緊急 (Critical) 980 18.9% -0.1% 2.9% -2.6%
高 (High) 2184 42.1% +2.0% 2.2% -1.6%
中 (Medium) 2026 39.0% -1.9% 2.3% -1.1%

表1 2022年8月~10月に登録されたCVEの深刻度の分布(「中」から「緊急」と評価されたもののみ)

画像1は2022年8月から10月までに登録された「緊急」「高」、「中」のCVEの分布を表す円グラフです。
図1. 2022年8月~10月に登録されたCVEの深刻度の分布(「中」から「緊急」と評価されたもののみ)

脆弱性のレベル分類はCVSS v3スコアに基づいています。脆弱性が「緊急」と評価されるには多くの条件を満たさねばならないのでこのレベルの脆弱性は非常に少なくなっています。ある脆弱性が「緊急」レベルと評価される一般要因の1つは動作するPoCが利用可能かどうかです。「緊急」の脆弱性は一般に、攻撃の複雑性が低く、その脆弱性を悪用するPoCを容易に作成できます。

今回取り上げた期間ではすべての深刻度レベルにおいてPoCの比率がわずかに減少しています。

脆弱性カテゴリの分布

各脆弱性の種類とその影響の理解は非常に重要です。新たに公開されたCVEを分析すると、26.6%がローカルな脆弱性に分類されました。これらは侵害されたシステムに対する事前のアクセスが必要な脆弱性です。残りの73.4%はネットワーク経由で悪用されうるリモートの脆弱性でした。つまり、新たに公開された脆弱性の大半は、世界のどこからでも脆弱な組織を攻撃できる可能性があるということです。

以下の図2は、最近公開された脆弱性に占める割合の高さの順で、最もよく見られた脆弱性をカテゴリごとにランキングしたものです。

画像2は2022年8月〜10月に登録されたCVEの脆弱性カテゴリ分布を示す積み上げ棒グラフです。クロスサイトスクリプティングについて、「中」(黄色)がもっとも大きな割合を占めています。
図2. 2022年8月~10月に登録されたCVEの脆弱性カテゴリ分布

2022年8月~10月に報告された脆弱性で数が最も多かったのは依然としてクロスサイトスクリプティングでした。なお同期間にバッファオーバーフローの脆弱性は増加が確認されましたが、ほかの種類の脆弱性(クロスサイトスクリプティングやサービス拒否を含む)の新規発生件数は減少していました。最近報告されたクロスサイトスクリプティングや情報漏えいの脆弱性は、重大度が「緊急」でなく、「中」または「高」のものが多くなっています。

画像3は2022年8月〜10月に登録されたCVEの脆弱性カテゴリ分布を示す棒グラフです。クロスサイトスクリプティングについて、「中」(黄色)がもっとも大きな割合を占めています。前期と今期(8月〜10月)を比較しています。
図3. 脆弱性カテゴリの分布、前四半期との比較

ネットワークセキュリティの動向: 野生のエクスプロイトの分析: 2022年8月~10月

データ収集

パロアルトネットワークスの次世代ファイアウォールを境界線上のセンサーとして活用することで、Unit 42のリサーチャーは2022年8月から10月にかけての悪意あるアクティビティを観測しました。識別された悪意のあるトラフィックは、IPアドレス、ポート番号、タイムスタンプなどの指標に基づいてさらに処理されます。これにより各攻撃セッションの一意性が担保され、潜在的なデータの偏りが排除されます。2億3,200万件の有効な悪意のあるセッションを分析し、精錬したデータをほかの属性と相関させて時系列での攻撃傾向を推測し、脅威の動向を把握しました。

野生でのエクスプロイトが確認された脆弱性の深刻度

私たちはスキャン攻撃やブルートフォース攻撃の検出に使用される低深刻度のシグネチャトリガーを除外し、これにくわえてリサーチ目的での内部的なトリガーも除外して、2億3,200万件の有効な悪意のあるセッションを得ました。したがってここで私たちは、深刻度の評価が「中」 (CVSS v3 スコアに基づく) 以上の悪用可能な脆弱性をもつもののみを確認済みの攻撃とみなしています。

画像4は、2022年8月から10月までに登録されたCVE(「緊急」「高」「中」)の攻撃深刻度分布を表す円グラフです。
図4. 2022年8月~10月の攻撃の深刻度分布(「中」から「緊急」と評価された脆弱性のみ)

図4は、各脆弱性の深刻度別に分類した攻撃数の比率を示したものです。前四半期の深刻度分布と比較すると、今四半期は「緊急」のCVEによる攻撃が増加しています。さらにデータを分析したところ、Realtek Jungle SDKのリモートコード実行の脆弱性(CVE-2021-35394)に対する攻撃は「緊急」のCVEを使う攻撃の71.4%を占めていること、全攻撃数の41.8%を占めていることがわかりました。

画像5は、2022年8月から10月に登録されたCVEの脆弱性深刻度分布を前四半期と比較した棒グラフ。「中」「高」が減少し、「緊急」が増加していることがわかる。
図5. 脆弱性深刻度の分布、前四半期との比較
画像6は深刻度「緊急」のCVEによる攻撃の総数と、CVE-2021-35394による攻撃数の比率を比較したグラフ。
図6. CVE-2021-35394への攻撃の割合(数値は最も近い百万の桁で丸め処理)

ネットワーク攻撃の発生時期

画像7は、2022年8月から10月まで毎週計測された、野生のエクスプロイトの深刻度の詳細を示す棒グラフです。年末にかけて「緊急」の深刻度の攻撃が急増します。
図7. 野生のエクスプロイトの深刻度分布(2022年8月〜10月 週次計測)

2022年8月から10月にかけては数週間にわたり深刻度が「緊急」の攻撃が急増していましたが、これは前のセクションで言及した攻撃(Realtek Jungle SDKのリモートコード実行の脆弱性)の増加に関係していると思われます。9月には、深刻度が「中」の脆弱性を悪用した攻撃がわずかに増加しました。そのほかの期間、深刻度が「緊急」以外の攻撃の回数に大きな変動はありませんでした。

これまでも観測してきたとおり、攻撃者は最近公開された脆弱性、とくに2021年から2022年にかけて公開された脆弱性を多用していました。このことは、直近で発見された脆弱性からの保護のために、利用可能になり次第セキュリティパッチを適用し、セキュリティ製品を更新することがいかに重要かを物語っています。Realtek Jungle SDKのリモートコード実行の脆弱性(CVE-2021-35394)を悪用した攻撃が非常に多かったため、今期は野生の攻撃におけるCVE番号の分布がこれまでの四半期とは大きく異なっています。

図8は、観測された攻撃を悪用されたCVEの開示年別にグループ分けし、それらを週次と月次の攻撃数で見たグラフです。2021年〜2022年に開示されたCVEは黄色、2019年〜2020年は紫、2016年〜2018年は青、2010年〜2015年は緑の破線、2010年以前のCVEはオレンジで示しています。
図8. 観測された攻撃をその攻撃のなかで悪用されていたCVEの公開年別に分類した結果 (2022年8月〜10月 週次計測)

野生のエクスプロイト: 2022年8月~10月の詳細分析

最新公開された攻撃に注目したところ、PoCの可用性、深刻度、悪用の容易性から、以下のエクスプロイトが目立ちました。ここでは攻撃者がオープンソースツールを使用してさまざまなターゲットを侵害した方法を示すコードスニペットを提供することで、これらエクスプロイトの手口を防御側が理解しやすいようにしておきます。

CVE-2022-27925

Zimbraは、Webメール、カレンダー、アドレス帳、Webの文書管理、オーサリングを含むオープンソースのコラボレーションオフィススイートを提供しています。バージョン8.8.15と9.0は、ZIPアーカイブを受け取ってそこからファイルを抽出するmboximportという機能を備えていますが、管理者権限を持つ認証ユーザーがこの機能を使ってシステムに任意のファイルをアップロードし、ディレクトリトラバーサルないしリモートコード実行を実現可能です。

図9は、Zimbraのリモートコード実行の詳細を示したコードスニペットのスクリーンショットです。脆弱性を含むboximportを表示しています。
図9. Zimbraのリモートコード実行

CVE-2022-26352

dotCMSの3.0から22.02までにはContentResource API に問題が確認されています。攻撃者は細工をしたマルチパートフォームリクエストを作成し、ファイル名が初めにサニタイズされていないファイルを投稿できます。これにより、意図した保存場所以外にファイルを保存する、ディレクトリトラバーサルが可能になります。匿名でのコンテンツ作成が有効な場合、未認証の攻撃者が.jspファイルなどの実行可能ファイルをアップロードし、リモートからコードを実行できます。

図10は、dotCMSのリモートコード実行の詳細を示すコードスニペットのスクリーンショットです。ここには脆弱性の一部であるContentResourceが表示されています。
図10. dotCMSのリモートコード実行

CVE-2022-31474

WordPressのバックアッププラグインであるBackupBuddyには、任意のファイルをダウンロードできる脆弱性があります。BackupBuddyプラグインのローカルバックアップファイルをダウンロードする関数には、関数チェックやnonce検証がないため、任意の管理ページ(admin-post.phpなど未認証でも呼び出せるページを含む)からこの関数がトリガーされる可能性があります。バックアップのためにパスが検証されず、任意のファイルをダウンロード可能です。

図11は、BackupBuddyの任意ファイルダウンロードの詳細を示すコードスニペットのスクリーンショットです。脆弱性の一部であるadmin-post.phpが表示されています。
図11. BackupBuddyの任意ファイルのダウンロード

CVE-2022-36804

Bitbucketは、Atlassian社が提供するWebベースのリポジトリホスティングサービスで、MercurialとGitのバージョン管理システムをサポートしています。BitbucketサーバーとData Centerの複数のAPIエンドポイントにはコマンドインジェクションの脆弱性が存在します。脆弱性のトリガー条件は、攻撃者がパブリックプロジェクトにアクセスできるかプライベートプロジェクトの読み取り権限を持つことで、バージョン7.0から8.3までが影響を受けます。

図12は、Bitbucketコマンドインジェクションの詳細を記述したコードスニペットのスクリーンショットです。
図12. Bitbucketのコマンドインジェクション

CVE-2022-31499

Nortek Linear eMerge E3-seriesデバイスは、オプションのリモートマネージメントコンソールを備えた、ブラウザから管理する組み込み型アクセスコントロールシステムです。0.32-08fより前のバージョンでは認証されていない悪意のあるユーザーがReaderNo を介してOSコマンドをインジェクト可能です。

図13は、Nortek Linear eMerge E3-seriesのコマンドインジェクションの詳細を示すコードスニペットのスクリーンショットです。脆弱性の一部であるReaderNoが表示されています。
図13. Nortek Linear eMerge E3-Seriesのコマンドインジェクション

CVE-2022-35914

GLPI (Gestionnaire Libre de Parc Informatique)は、オープンソースのIT資産管理、問題追跡システム、サービスデスクシステムです。GLPI 10.0.2およびそれ以前のバージョンには、攻撃者が認証されていないPHPコマンドインジェクションの脆弱性を悪用できるセキュリティ上の脆弱性が存在します。この脆弱性は、htmlawedモジュールの/vendor/htmlawed/htmLawedTest.phpに起因しており、PHP コードのインジェクションが可能です。

図14は、GLPIコマンドインジェクションの詳細を示すコードスニペットのスクリーンショットです。PHPのコードインジェクションを可能にしてしまう脆弱性のある行が表示されています。
図14. GLPIのコマンドインジェクション

CVE-2022-2486

家庭用のWi-FiシステムWAVLINK WN535K2とWN535K3に「緊急」に分類される脆弱性が発見されました。/cgi-bin/mesh.cgi?page=upgradeというファイルのいずれかの部分に影響するものです。引数keyに細工をすることでOSコマンドインジェクションにつながります。

図15は、WAVLINKのコマンドインジェクションの詳細を示すコードスニペットのスクリーンショットです。ここには脆弱性の一部であるcgi-binが表示されています。
図15. WAVLINKのコマンドインジェクション

CVE-2022-40684

FortinetのFortiOSバージョン7.2.0から7.2.1および7.0.0から7.0.6、FortiProxyのバージョン7.2.0および7.0.0から7.0.6、 FortiSwitch Managerのバージョン7.2.0および7.0.0には、代替パスまたは代替チャネル(CWE-288)による認証バイパスの問題があります。これにより、特別な細工をしたHTTPリクエストないしHTTPSリクエストを介し、未認証の攻撃者が管理インタフェースを操作可能になります。

図16は、Fortinet FortiOSの認証バイパスの詳細を示すコードスニペットのスクリーンショットです。
図16. Fortinet FortiOSの認証バイパス

CVE-2022-42889

Apache Commons Textでは変数補間を行うことで属性を動的に評価・展開できます。補間の標準書式は${prefix:name}です。ここでのprefixは補間を実行するorg.apache.commons.text.lookup.StringLookupのインスタンスを探すのに使われます。バージョン1.5から1.9までは、Lookupインスタンスのデフォルトセットに、任意コード実行やリモートサーバーアクセスを引き起こしうるインターポレーターが含まれていました。

図17は、Apache Commons Textのコード実行の詳細を示すコードスニペットのスクリーンショットです。
図17. Apache Commons Textのコード実行

CVE-2021-34429

Eclipse Jettyのバージョン 9.4.37ではURI仕様から特定の文字を除外するRFC3986の新しい実装が導入されています。しかしこの実装には、URLエンコーディングを利用して攻撃者が制限を回避し、WEB-INFディレクトリから任意のファイルをダウンロードできる脆弱性(CVE-2021-28164)があります。Jetty 9.4.39で脆弱性対応が行われたのですが、この修正が不十分であったことから、攻撃者はまだWEB-INFディレクトリ内の保護されたリソースにアクセスする特別なHTTPリクエストを作成できます。

図18は、Jettyのバイパスを詳細に説明したコードスニペットのスクリーンショットです。
図18. Jettyのバイパス

攻撃カテゴリの分布

各ネットワーク攻撃をカテゴリ別に分類し、悪用頻度が高いものから順にランキングしました。今期はリモートコード実行がトップで、トラバーサルがそれに続いています。

図19は、2022年8月から10月までの「重要」「高」「中」のCVEの攻撃カテゴリと深刻度を示す積み上げ棒グラフです。リモートコード実行が1億5,500万件と他を大きく引き離しています。
図19. 攻撃カテゴリと深刻度(2022年8月~10月)

前述のRealtek Jungle SDKのリモートコード実行の脆弱性の悪用が多かったために、前四半期と比べて今四半期はリモートコード実行が大幅に増加しています。またトラバーサルは前四半期の約2倍に増加し、情報開示は前四半期の約3分の1に減少しました。

攻撃の起点

各ネットワーク攻撃の起点となった地域を特定したところ、米国からの発信が大半で、次いでベトナム、ロシアとなっているようです。ベトナムからの攻撃は今期大幅に増加しました。ただし攻撃者はそれらの国に設置されたプロキシサーバーやVPNを利用し、実際の物理的な場所を隠している可能性があることも私たちは認識しています。

図20は、8月から10月までの攻撃起点を国別に見た割合を示すグラフです。最も多かったのは米国で半数強、次いでベトナム、ロシアとなっています。
図20. 攻撃発生頻度が高い地域 (2022年8月〜10月)
図21は、CVE攻撃起点の分布を前四半期と比較した棒グラフです。米国の割合が減少し、ベトナムとロシアの割合が上昇しています。
図21. 攻撃起点の分布、前四半期との比較
図22は、2022年8月から10月までの攻撃起点の地理的分布を表すヒートマップです。地図で最も濃い色の部分は米国です。
図22. 攻撃起点の地域的分布(2022年8月〜10月)

結論

2022年8月~10月に公開された脆弱性を確認すると、Webアプリケーションは依然として人気のある攻撃対象で、「緊急」の脆弱性にはPoCが公開されている可能性が高いことがわかります。

それと同時に、新たに公開される脆弱性が実際に悪用されている様子も継続的に捕捉されています。このことからも、組織が迅速にパッチを適用してセキュリティのベストプラクティスを実装する必要性が強調されます。攻撃者たちは一致団結し、すきあらば手持ち兵器を増強する機会を伺っていることを忘れてはいけません。

サイバー犯罪者が悪意のある活動を停止することは決してありませんが、パロアルトネットワークスのお客様は、次世代ファイアウォール脅威防御WildFire高度なURLフィルタリングなどのクラウド型セキュリティサービス、およびCortex XDRを通じて、本稿で取り上げた脆弱性からの保護を受けています。

自組織のネットワークに対するリスクをさらに緩和するため、以下を検討してください。

  • 次世代ファイアウォール(NGFW-series)でよりよいセキュリティ態勢のために変更すべき設定がないかどうか確認します。
  • Security Lifecycle Review(セキュリティライフサイクル評価)を実行して、自組織にとって最大の脅威を統合的に把握し、それらを防止するための対策が講じられているかどうかを確認します。
  • パロアルトネットワークスの次世代ファイアウォールを継続的に脅威防御コンテンツ(例: バージョン8649またはそれ以降)で更新します。
  • WAASを利用するPrisma Cloudのお客様は、クロスサイトスクリプティング、SQLインジェクション、ディレクトリトラバーサルなどの攻撃を検出するApp Firewall機能により、これらの脅威から保護されます。

追加リソース