ネットワークセキュリティ動向: 2022年5月〜7月

Network security trends conceptual image

This post is also available in: English (英語)

概要

最近、2022年5月から7月にかけては、ネットワークセキュリティ動向や野生(in the wild)で利用されているエクスプロイトの観測から、Atlassian Confluence、SolarView Compact、WordPressプラグイン関連で新たに公開されたリモートコード実行脆弱性の悪用が続いていることがわかってきました。このほか、School Management Proという名前のWordPressプラグインに組み込まれた不正な機能や、F5 BIG-IPに存在する認証バイパスの脆弱性もよく利用されていました。

これらのネットワークセキュリティ動向の観測結果から、概念実証(PoC)の有無や影響にもとづいて、Unit 42のリサーチャーがいくつかの攻撃を厳選しました。以下では、とくに防御側が知っておくべき内容を紹介します。

また、防御に役立つ知見も共有します。

  • 最もよく使われる攻撃テクニックのランキング、攻撃者が最近好んでいる脆弱性の種別。例: 新たに公表された5,976件の脆弱性のなかでもクロスサイトスクリプティング(XSS)に関連した脆弱性が多い(約11.6%)
  • 3億4,000万件以上の攻撃セッションを評価して得た主な脆弱性にはリモートコード実行、トラバーサル、情報漏えいなどがあげられる
  • パロアルトネットワークスの次世代ファイアウォールから収集した実データに基づくこれら脆弱性の野生(in the wild)での悪用手法に関する洞察
  • 2022年5月~7月の主な動向
  • 最近公開された脆弱性の深刻度や攻撃起点の分布などの分析
  • 脆弱性の分類によるクロスサイトスクリプティングやDoS (サービス拒否) など異なる種類の脅威蔓延状況
  • 攻撃者にもっとも悪用されている脆弱性と各攻撃の深刻度、カテゴリ、攻撃起点

パロアルトネットワークスのお客様は、次世代ファイアウォールや脅威防御、WildFire、Advanced URL Filteringなどのクラウド型セキュリティサービス、およびCortex XDRを通じて、本稿で取り上げる脆弱性からの保護を受けています。

本稿で扱うCVE CVE-2022-1388, CVE-2022-26134, CVE-2022-2488CVE-2022-26138, CVE-2022-29303, CVE-2022-31446, CVE-2022-1119, CVE-2022-1609, CVE-2021-26085, CVE-2021-25003, CVE-2021-35064
本稿で取り上げる攻撃の種類と脆弱性の種別 クロスサイトスクリプティング、サービス拒否(DoS)、情報漏えい、バッファオーバーフロー、特権昇格、メモリ破壊、コード実行、SQLインジェクション、境界外読み取り、クロスサイトリクエストフォージェリ、ディレクトリトラバーサル、コマンドインジェクション、不適切な認証、セキュリティ機能のバイパス
関連するUnit 42のトピック Network Security Trends, exploits in the wild, attack analysis

目次

公開された脆弱性の分析(2022年5月~7月)

2022年5月から7月にかけては、合計で5,976件のCVE(Common Vulnerabilities and Exposures)番号が新たに登録されました。新しく公開されたこれらの脆弱性がネットワークセキュリティに与える潜在的な影響についての理解を深めるため、深刻度、動作する概念実証(PoC)コードの有無、脆弱性カテゴリにもとづいた見解を示します。

最新の脆弱性の深刻度

脆弱性の潜在的影響を見積もるには、その深刻度について検討し、攻撃者が容易に使える信頼性の高いPoCの有無を調査します。私たちがPoCを見つけるために利用している公開ソースは、Exploit-DB、GitHub、Metasploitなどです。深刻度のスコアが「中」以上に設定されている5,976件のCVEの分布は、以下の表の通りです。

深刻度 件数 比率 PoCが利用可能 差分
緊急 (Critical) 1133 19.0% 5.5% -2.3%
高 (High) 2399 40.1% 3.8% -1.0%
中 (Medium) 2444 40.9% 3.4% -0.2%

表1 2022年5月~7月に登録されたCVEの深刻度の分布(「中」から「緊急」と評価されたもののみ)

深刻度「中」: 40.9%、「高」: 40.1%、「緊急」: 19.0%
図1. 2022年5月~7月に登録されたCVEの深刻度の分布(「中」から「緊急」と評価されたもののみ)

この脆弱性分類はCVSS v3スコアに基づいています。脆弱性が「緊急」と評価されるには多くの条件を満たさねばならないのでこのレベルの脆弱性は非常に少なくなっています。ある脆弱性が「緊急」レベルと評価される一般要因の1つは動作するPoCが利用可能なことです。「緊急」の脆弱性は一般に、攻撃の複雑性が低く、その脆弱性を悪用するPoCを容易に作成できます。

今回の対象期間においては深刻度が「緊急」の比率が高まり、「高」「中」の緊急度の比率は若干下がっています。

脆弱性カテゴリの分布

各脆弱性の種類とその影響の理解は非常に重要です。新たに公開されたCVEを分析すると、23.5%がローカルな脆弱性に分類され、侵害されたシステムへの事前のアクセスが必要となります。残りの76.5%はネットワーク経由で悪用されうるリモートの脆弱性です。つまり、新たに公開された脆弱性の大半は、世界のどこからでも脆弱な組織を攻撃できる可能性があるということです。

以下の図2は、最近公開された脆弱性に占める割合の高さの順で、最もよく見られた脆弱性をカテゴリごとにランキングしたものです。

ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。脆弱性のカテゴリ (もっとも蔓延しているものから順に): クロスサイトスクリプティング(XSS)、SQLインジェクション、情報漏えい、特権昇格、サービス拒否(DoS)、トラバーサル、コマンドインジェクション、コード実行、境界外書き込み、バッファオーバーフロー、Use-After-Free(メモリ解放後の使用)、不適切な認証
図2. 2022年5月~7月に登録されたCVEの脆弱性カテゴリ分布

2022年5月~7月にかけて報告された脆弱性のなかで最も多かったのは依然としてクロスサイトスクリプティングです。同時に、今四半期はSQLインジェクションの脆弱性の悪用が拡大していました。このカテゴリの脆弱性の多くは「緊急」の評価を受けています。SQLインジェクションやクロスサイトスクリプティングの脆弱性がやや増加し、境界外の脆弱性が減少しています最近公表されたクロスサイトスクリプティングや情報漏えい攻撃の多くは、緊急(Critical)でなく「中」または「高」の深刻度です。

ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。脆弱性のカテゴリ (もっとも蔓延しているものから順に): クロスサイトスクリプティング(XSS)、SQLインジェクション、情報漏えい、特権昇格、サービス拒否(DoS)、トラバーサル、コマンドインジェクション、コード実行、境界外書き込み、バッファオーバーフロー、Use-After-Free(メモリ解放後の使用)
図3. 脆弱性カテゴリの分布、前四半期との比較

ネットワークセキュリティの動向: 野生のエクスプロイトの分析(2022年5月~7月)

データ収集

パロアルトネットワークスの次世代ファイアウォールを境界線上のセンサーとして活用することで、Unit 42のリサーチャーは2022年5月から7月にかけての悪意あるアクティビティを観測しました。識別された悪意のあるトラフィックは、IPアドレス、ポート番号、タイムスタンプなどの指標に基づいてさらに処理されます。これにより各攻撃セッションの一意性が担保され、潜在的なデータの偏りが排除されます。3億4,000万件の有効な悪意のあるセッションを分析し、精錬したデータをほかの属性と相関させて時系列での攻撃傾向を推測し、脅威の動向を把握しました。

野生でのエクスプロイトが確認された脆弱性の深刻度

私たちはスキャン攻撃やブルートフォース攻撃の検出に使用される低深刻度のシグネチャトリガーを除外し、これにくわえてリサーチ目的での内部的なトリガーも除外して、3億4,000万件の有効な悪意のあるセッションを得ました。したがってここで私たちは、深刻度の評価が「中」 (CVSS v3 スコアに基づく) 以上の悪用可能な脆弱性をもつもののみを確認済みの攻撃とみなしています。

ネットワークセキュリティ動向: 攻撃に利用された脆弱性の深刻度。深刻度「中」: 47.2%、「高」: 21.5%、「緊急」: 31.3%
図4. 2022年5月~7月の攻撃の深刻度分布(「中」から「緊急」と評価された脆弱性のみ)

図4は、各脆弱性の深刻度別に分類した攻撃数の比率を示したものです。前四半期の深刻度分布と比較すると、今四半期は、深刻度が「緊急」と「高」の攻撃が減少し、「中」の攻撃が増加していることがわかります。ただしその潜在的影響の大きさから、私たちはやはり深刻度「緊急」の攻撃に最も焦点をあてて調査しています。公開された脆弱性の多くは「中」の深刻度ですが、攻撃者はより深刻度の高い脆弱性をエクスプロイトに利用することが多くなっています。したがって防御側は、深刻度が「高」、「緊急」のネットワーク攻撃の防止と緩和を優先する必要があります。

脆弱性深刻度におけるネットワーク・セキュリティ動向、前四半期との比較ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。深刻度「中」は前四半期との比較で20%を超える増加、「高」は10%未満の低下、「緊急」はほぼ20%の低下。
図5. 脆弱性深刻度の分布、前四半期との比較

ネットワーク攻撃の発生時期

ここでは赤が「緊急」、黄が「高」、青が「中程度」、緑が「合計」を表しています。この棒グラフは、2022年5月から7月の週ごと(単位:百万)の攻撃セッションの深刻度分布を示しています。
図6. 2022年5月から7月まで週ごとに計測した野生のエクスプロイトの深刻度分布

2022年5月〜7月にかけ、攻撃者は深刻度「中」の脆弱性の悪用を徐々に増やし、攻撃回数も徐々に増加させました(最後のデータセットは、7日間ではなく8日間の攻撃回数を記録したもの)。

これまでも観測してきたとおり、攻撃者は最近公開された脆弱性、とくに2021年から2022年にかけて公開された脆弱性を多用していました。このことは、直近で発見された脆弱性からの保護のために、利用可能になり次第セキュリティパッチを適用し、セキュリティ製品を更新することがいかに重要かを物語っています。

観測された攻撃に関するネットワークセキュリティ動向を悪用されたCVEの開示された年別で分類したもの。赤=2021-2022年公開のCVE、黄=2019-2020年公開のCVE、青=2016-2018年公開のCVE、緑=2010-2015年公開のCVE、オレンジ=2010年より前に公開されたCVE。この棒グラフは、2022年5月から7月の週ごと(単位:百万)の攻撃セッションの深刻度分布を示しています。
図7 観測した攻撃で悪用されたCVEを公開年ごとに分類したもの。2022年5月から7月まで毎週計測

野生で確認されたエクスプロイト: ネットワーク動向詳細分析(2022年5月~7月)

最新公開された攻撃に注目したところ、PoCの可用性、深刻度、悪用の容易性から、以下のエクスプロイトが目立ちました。ここでは攻撃者がオープンソースツールを使用してさまざまなターゲットを侵害した方法を示すスニペットを提供することで、これらエクスプロイトの手口を防御側が理解しやすいようにしておきます。

CVE-2022-31446

Tenda AC18ルーターV15.03.05.19およびV15.03.05には、ip/goform/WriteFacMacMacパラメータ経由でリモートからコードを実行される脆弱性が見つかっています。未確認の入力で引数Macを操作することにより、未確認の脆弱性につながります。

Tenda AC18ルータのリモートコード実行の脆弱性(CVE-2022-31446)を説明するスニペット
図8. Tenda AC18ルーターのリモートコード実行の脆弱性

CVE-2022-1388

F5 BIG-IPはX-F5-Auth-Tokenリクエストヘッダの認証が不十分で、リモートの攻撃者が細工したリクエストを対象サーバーに直接送信すると脆弱性が悪用可能になります。エクスプロイトに成功すると、サービス拒否ないし最悪の場合は任意のコマンドやコードの実行につながる可能性があります。

F5 BIG-IPの認証バイパスの脆弱性(CVE-2022-1388)を説明するスニペット
図9 F5 BIG-IPの認証バイパスの脆弱性

CVE-2022-26134

Atlassian ConfluenceにはOGNLインジェクションの脆弱性があります。この脆弱性は、結果の計算中に評価されるユーザーからの入力検証が不十分であることに起因しています。リモートの未認証の攻撃者は、細工したリクエストを標的となるサーバーに送信することで、この脆弱性を悪用可能です。エクスプロイトに成功すると、影響を受けたサーバーのセキュリティコンテキストで任意のコードを実行される可能性があります。

Atlassian Confluenceのリモートコード実行の脆弱性(CVE-2022-26134)を説明するスニペット
図10 Atlassian Confluenceのリモートコード実行の脆弱性

CVE-2022-2488

WAVLINK WN535K2/WN535K3には「緊急」の評価を受けた脆弱性が見つかっています。この脆弱性は/cgi-bin/touchlist_sync.cgiファイルのなんらかの未確認の処理に影響します。未確認の入力で引数IPを操作すると特権昇格につながります。

WAVLINKのコマンドインジェクションの脆弱性(CVE-2022-2488)を説明するスニペット
図11 WAVLINKのコマンドインジェクションの脆弱性

CVE-2022-26138

disabledsystemuserアカウントは作成時にパスワードがハードコードされ、Atlassianのconfluence-usersグループに追加されますが、このアカウントはデフォルトでConfluence内の制限のないページすべての閲覧と編集ができるようになっています。ハードコードされたパスワードを知っているリモートの未認証の攻撃者は、これを悪用してConfluenceにログイン可能です。

Atlassian Confluenceの認証バイパス脆弱性(CVE-2022-26138)を説明するスニペット
図12. Atlassian Confluenceの認証バイパスの脆弱性

CVE-2022-29303

SolarView Compact ver.6.00にはconf_mail.phpを介するコマンドインジェクションの脆弱性が見つかっています。攻撃が成功すると、リモートでコードが実行される可能性があります。

SolarView Compactのコマンドインジェクションの脆弱性(CVE-2022-29303)を説明するスニペット
図13. SolarView Compactのコマンドインジェクションの脆弱性

CVE-2022-1119

WordPress用のプラグイン「Simple File List」のバージョン3.2.7までには脆弱性が1つ見つかっています。この脆弱性は「緊急」の評価を受けています。この脆弱性は、ファイル~/includes/ee-downloader.phpの一部の未確認の処理に影響します。引数eeFileを未確認の入力で操作することにより、ディレクトリトラバーサルの脆弱性につながります。

WordPressの脆弱性を説明するスニペット
図14 WordPress "Simple File List" プラグインのパストラバーサルの脆弱性

CVE-2022-1609

WordPressのプラグインSchool Management Proの複数のバージョンに、この脆弱性のあるWebサイトを完全にコントロールできるバックドアが仕込まれていることが判明しました。この脆弱性はバックドアコードに悪意のある機能が埋め込まれていることに起因しており、これによりリモートの攻撃者がアプリケーションに不正にアクセスできるようになります。

WordPressの脆弱性を説明するスニペット
図15. WordPressのSchool Management Proプラグインに存在するリモートコード実行の脆弱性

CVE-2021-26085

Atlassian Confluence Serverには、情報漏えいの脆弱性が存在します。この脆弱性は/s/をエンドポイントにもつリソースの検証が不適切であることに起因しています。

Atlassian Confluence Serverの情報漏えいの脆弱性(CVE-2021-26085)を説明するスニペット
図16. Atlassian Confluence Serverの情報漏えいの脆弱性

CVE-2021-25003

WordPressプラグイン「WPCargo Track and Trace」のバージョン6.9.0以前には、未認証の攻撃者がWebサーバー上の任意の場所に PHPファイルを書き込めるファイルが含まれていて、これがリモートコード実行につながります。

WordPressの脆弱性を説明するスニペット
図17 WordPressの「WPCargo Track and Trace」プラグインのコード実行の脆弱性

CVE-2021-35064

VIAwareのWebアプリケーションはwww-dataとして実行されます。ただし、sudoerの設定により攻撃者がrootアクセスを得られるようになる方法が複数存在します。

Kramerav VIAwareのリモートコード実行の脆弱性(CVE-2021-35064)を説明するスニペット
図18. Kramerav VIAwareのリモートコード実行の脆弱性

攻撃カテゴリの分布

各ネットワーク攻撃をカテゴリ別に分類し、悪用頻度が高いものから順にランキングしました。今四半期は、1位がリモートコード実行、2位が情報漏えいとなっています。攻撃者は一般に、標的のシステムから最大限情報を得て、可能な限りコントロールしたいと考えています。今四半期は情報漏えい攻撃が減少していました。

ネットワークセキュリティ動向: 攻撃の種類と深刻度。ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。攻撃カテゴリは(悪用頻度が高いものから順に): リモートコード実行、情報漏えい、トラバーサル、クロスサイトスクリプティング(XSS)、サービス拒否(DoS)、メモリ破壊、バッファオーバーフロー、ハックツール、不適切な認証、エクスプロイトキット、コマンドインジェクション、権限昇格
図19 攻撃カテゴリと深刻度(2022年5月~7月)
ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。攻撃カテゴリは(悪用頻度が高いものから順に): リモートコード実行、情報漏えい、トラバーサル、クロスサイトスクリプティング(XSS)、サービス拒否(DoS)、メモリ破壊、バッファオーバーフロー、ハックツール、不適切な認証、エクスプロイトキット
図20. 攻撃カテゴリの分布、前四半期との比較

攻撃の起点

各ネットワーク攻撃の起点となった地域を特定したところ、米国からの発信が大半で、次いでドイツ、オランダとなっているようです。今四半期はオランダとルーマニアからの攻撃が大幅に増加しました。ただし攻撃者はそれらの国に設置されたプロキシサーバーやVPNを利用し、実際の物理的な場所を隠している可能性があることも私たちは認識しています。

ネットワークセキュリティ動向: 観測された攻撃起点を示す円グラフアメリカ49.6%、ドイツ17.2%、オランダ10.2%、フランス5.7%、ルーマニア3.3%、カナダ1.4%、ロシア1.3%、イギリス1.1%、中国0.9%、その他9.4%
図21. 2022年5月から7月の間に観測された攻撃の発生頻度が高い場所をランキング
観測された攻撃起点の変化率を示す棒グラフ。アメリカ20%以上の減少、ドイツ10%以上の増加、オランダ10%未満の増加、フランス5%未満の増加、ルーマニア5%未満の 増加、カナダおよそ1%の増加、ロシア連邦1%以上の減少、イギリス1%以上増加、中国<1%減少、その他1%以上の減少</1%></5%>
図22. 攻撃起点の分布、前四半期との比較
ネットワークセキュリティ動向: 攻撃起点と思われる場所を示すヒートマップ。最も赤が濃いのはアメリカ、次いでドイツ、オランダ
図23. 2022年5月~7月の攻撃起点の地理的分布

結論

2022年5月~7月に公開された脆弱性を確認すると、Webアプリケーションは依然として人気のある攻撃対象で、「緊急」の脆弱性にはPoCが公開されている可能性が高いことがわかります。

それと同時に、新たに公開される脆弱性が実際に悪用されている様子も継続的に捕捉されています。このことからも、組織が迅速にパッチを適用してセキュリティのベストプラクティスを実装する必要性が強調されます。攻撃者たちは一致団結し、すきあらば手持ち兵器を増強する機会を伺っていることを忘れてはいけません。

サイバー犯罪者が悪意のある活動を停止することは決してありませんが、パロアルトネットワークスのお客様は、次世代ファイアウォール脅威防御WildFireAdvanced URL Filteringなどのクラウド型セキュリティサービス、およびCortex XDRを通じて、本稿で取り上げた脆弱性からの保護を受けています。

自組織のネットワークに対するリスクをさらに緩和するため、以下を検討してください。

追加リソース