Protect Against Russia-Ukraine Cyber Activity

ネットワークセキュリティ動向: 2022年2月〜4月 実際の悪用が観測されたエクスプロイトはリモートコード実行やクロスサイトスクリプティングなど

Conceptual image representing trends, including recent exploits in the wild and other network security trends

This post is also available in: English (英語)

概要

最近のエクスプロイト利用動向を観測した結果、さまざまな脆弱性のなかでもVMware ONE Access、Identity Manager、Spring Cloud Function、Spring MVC、Spring Web Fluxなどで新たに公開されたリモートコード実行(RCE)の脆弱性の悪用が続いていることがわかってきました。このほか、WordPressコア(主要機能を構成するファイル群)に存在するクロスサイトスクリプティング(XSS)の脆弱性や、VoIPmonitor GUIなどのサービスに存在するSQLインジェクションの脆弱性もよく利用されていました。これらのネットワークセキュリティ動向の観測結果から、「概念実証(PoC)の有無」、「悪用される脆弱性の深刻度」、「エクスプロイトの容易さ」にもとづき、Unit 42のリサーチャーが「防御側が知っておくべき最新公開攻撃のエクスプロイト」を選びました。

また、最もよく使われるテクニックのランキングや、攻撃者が最近好んでいる脆弱性のタイプなど、防御に役立つ知見を共有します。たとえば、「新たに公表された6,000件の脆弱性のなかでも、クロスサイトスクリプティング(XSS)に関連した脆弱性が多い(約13.3%)」という洞察が得られました。このことは、「防御側はインターネットに面した機器全般についてXSS軽減のために最善の策を検討すべきである」ということを示唆しています。

このほか、9,300万件以上の攻撃セッションを評価した結果、リモートコード実行やトラバーサル、情報漏えいなどが主な注目ポイントであることがわかっています。

私たちはさらに、パロアルトネットワークスの次世代ファイアウォールから収集した実データにもとづき、これらの脆弱性がどのようなかたちで活発に悪用されているかに関する洞察を提供します。たとえば、最もよく使われている脆弱性がネットワークを通じてどのくらいの頻度で攻撃に利用されているか、また、その攻撃がどのような場所から発生しているかを中心に取り上げていきます。その後、攻撃者がもっとも悪用している脆弱性や、各攻撃の深刻度、カテゴリ、攻撃元などの結論を述べます。

本稿では2022年2月から4月までの主な動向をまとめました。以下のセクションでは、最近公開された脆弱性について、深刻度などの分析結果をふくめてご紹介します。また、脆弱性を分類することで、クロスサイトスクリプティングやDoS (サービス拒否) などの蔓延状況を明らかにします。

パロアルトネットワークスのお客様は、次世代ファイアウォール脅威防御WildFireAdvanced URL Filteringなどのクラウド型セキュリティサービス、およびCortex XDRを通じて、本稿で取り上げる脆弱性からの保護を受けています。

本稿で扱うCVE CVE-2022-22954, CVE-2022-22963, CVE-2022-22965, CVE-2022-25060, CVE-2022-22947, CVE-2022-24112, CVE-2022-22536, CVE-2021-24762, CVE-2022-21662, CVE-2021-43711, CVE-2022-25075, CVE-2022-25134, CVE-2021-4045, CVE-2022-24260, CVE-2021-21881, CVE-2021-39226, CVE-2021-28169, CVE-2021-20167, CVE-2021-20166, CVE-2022-21371, CVE-2021-31589, CVE-2022-29464, CVE-2022-27226
本稿で取り上げる攻撃の種類と脆弱性の種別 クロスサイトスクリプティング、サービス拒否(DoS)、情報漏えい、バッファオーバーフロー、特権昇格、メモリ破壊、コード実行、SQLインジェクション、境界外読み取り、クロスサイトリクエストフォージェリ、ディレクトリトラバーサル、コマンドインジェクション、不適切な認証、セキュリティ機能のバイパス
Unit 42の関連トピック Network Security Trends, exploits in the wild, attack analysis

2022-09-07 10:00 JST 英語版更新日 2022-09-02 12:30 PDT の内容を反映。誤って掲載されていたCVE (CVE-2021-38406、CVE-2022-23253)を削除しました。

目次

公開された脆弱性の分析: 2022年2月~2022年4月

2022年2月から4月にかけては、合計で5,962件のCVE(Common Vulnerabilities and Exposures)番号が新たに登録されました。新しく公開されたこれらの脆弱性がネットワークセキュリティに与える潜在的な影響についての理解を深めるため、深刻度、概念実証コードの実現可能性、脆弱性カテゴリにもとづいた見解を示します。

最新の脆弱性の深刻度

脆弱性の潜在的影響を見積もるには、その深刻度について検討し、攻撃者が容易に使える信頼性の高い概念実証 (PoC) の有無を調査します。私たちがPoCを見つけるために利用している公開ソースは、Exploit-DB、GitHub、Metasploitなどです。深刻度のスコアが「中」以上に設定されている5,631件のCVEの分布は、以下の表の通りです。

深刻度 件数 比率 PoCが利用可能
緊急 (Critical) 1033 18.3% 7.8%
高 (High) 2282 40.5% 4.8%
中 (Medium) 2316 41.1% 3.6%

表1 2022年2月~4月に登録されたCVEの深刻度の分布

深刻度「中」: 41.1%、「高」: 40.5%、「緊急」: 18.3%
図1. 2022年2月~4月に登録されたCVEの深刻度の分布(「中」から「緊急」と評価されたもののみ)

「緊急」に分類された脆弱性は最も数は少ないですが、PoCが利用できる可能性はより高くなっています。このデータはPoCの有無と脆弱性の深刻度が相関していることを示唆しています。今回の対象期間においては重要度「緊急」のPoCの比率が高まり「高」「中」のPoCの比率がわずかに下がっています。パロアルトネットワークスは、最新の脆弱性に関する脅威インテリジェンスや、実際に行われているエクスプロイトをリアルタイムで監視することで、お客様への保護を継続的に提供しています。

脆弱性カテゴリの分布

脆弱性の属するカテゴリも、ある脆弱性のもつ影響を理解するには重要となります。新たに公開されたCVEを分析すると、26.4%がローカルな脆弱性に分類され、侵害されたシステムへの事前のアクセスが必要でした。残りの73.6%はネットワーク経由で悪用されうるリモートの脆弱性です。つまり、新たに公開された脆弱性の大半は、世界のどこからでも脆弱な組織を攻撃できる可能性があるということです。

図2は、最近公開された脆弱性に占める割合の高さの順で、最もよく見られた脆弱性をカテゴリごとにランキングしたものです。

ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。脆弱性のカテゴリ (もっとも蔓延しているものから順に): クロスサイトスクリプティング(XSS)、境界外書き込み、情報漏えい、SQLインジェクション、特権昇格、サービス拒否(DoS)、コマンドインジェクション、ファイル関連、トラバーサル、リモートコード実行(RCE)、不適切な認証、不適切な入力検証、バッファオーバーフロー
図2. 2022年2月~4月に登録されたCVEの脆弱性カテゴリごとの分布

この期間はクロスサイトスクリプティングの脆弱性がもっとも多く報告されました。このほか、境界外書き込みや情報漏えいの脆弱性の報告も前四半期に比べて増えています。なお、最近報告されたクロスサイトスクリプティングや情報漏えいの脆弱性は、重大度が「緊急」でなく、「中」または「高」のものが多くなっています。同時に、2022年2月から4月にかけてはSQLインジェクションの脆弱性利用が拡大していました。このカテゴリの脆弱性の多くは「緊急」です。

ネットワークセキュリティの動向: 実際に見られたエクスプロイトの分析: 2022年2月~2022年4月

データ収集

パロアルトネットワークスの次世代ファイアウォールを境界線上のセンサーとして活用することで、Unit 42のリサーチャーは2022年2月から4月にかけての悪意あるアクティビティを観測しました。識別された悪意のあるトラフィックは、IPアドレス、ポート番号、タイムスタンプなどの指標に基づいてさらに処理されます。これにより各攻撃セッションの一意性が担保され、潜在的なデータの偏りが排除されます。9,300万件の有効な悪意のあるセッションを分析し、精錬したデータをほかの属性と相関させて時系列での攻撃傾向を推測し、脅威の動向を把握しました。

実際の悪用が見られる攻撃の深刻度

私たちはスキャン攻撃やブルートフォース攻撃の検出に使用される低深刻度のシグネチャトリガーを除外し、これにくわえてリサーチ目的での内部的なトリガーも除外して、9,300万件の有効な悪意のあるセッションを得ました。したがってここで私たちは、深刻度が「中」 (CVSS v3 スコアに基づく) を超える悪用可能な脆弱性をもつもののみを確認済みの攻撃とみなしています。

深刻度「中」: 31.3%、「高」: 29.6%、「緊急」: 39.1%
図3. 2022年2月~4月の攻撃の深刻度分布(「中」から「緊急」と評価された脆弱性のみ)

図3は、各脆弱性の深刻度別に分類したセッション数と攻撃数の比率を示したものです。前四半期の深刻度分布と今四半期の深刻度分布は「緊急」「高」「中」の攻撃ともほとんど差がありませんでした。ただしその潜在的影響の大きさから、私たちはやはり深刻度「緊急」の攻撃に最も焦点をあてて調査しています。公開された脆弱性の多くは「中」の深刻度ですが、攻撃者はより深刻度の高い脆弱性をエクスプロイトに利用します。したがって防御側は、深刻度が「高」、「緊急」のネットワーク攻撃の防止と緩和に注意を払う必要があります。

ネットワーク攻撃の発生時期

ここでは赤が「緊急」、黄が「高」、青が「中程度」、緑が「合計」を表しています。この棒グラフは、2022年2月から4月の週ごと(単位:百万)のセッションの攻撃深刻度分布を示しています。
図4. 2021年2月〜4月にかけて週ごとに計測した攻撃の深刻度分布

今回のネットワークセキュリティ動向分析では、2022年2月から4月のデータを収集しました。この期間中、攻撃者はつねに深刻度の高いエクスプロイトを利用していました。

これまでも観測してきたとおり、攻撃者は最近公開された脆弱性、とくに2021年から2022年にかけて公開された脆弱性を多用していました。このことは、直近で発見された脆弱性からの保護のために、利用可能になり次第セキュリティパッチを適用し、セキュリティ製品を更新することがいかに重要かを物語っています。

赤=2021-2022年公開のCVE、黄=2019-2020年公開のCVE、青=2016-2018年公開のCVE、緑=2010-2015年公開のCVE、オレンジ=2010年より前に公開されたCVE。この棒グラフは、2022年2月から4月の週ごと(単位:百万)のセッションの攻撃深刻度分布を示しています。
図5. 観測された攻撃を悪用されたCVEの開示年ごとに分類(2022年2月〜4月にかけて週ごとに測定)

実際の悪用が見られるエクスプロイト: 2022年2月~2022年4月の詳細分析

最新公開された攻撃に注目したところ、PoCの可用性、深刻度、悪用の容易性から、以下のエクスプロイトが目立ちました。ここでは攻撃者がオープンソースツールを使用してさまざまなターゲットを侵害した方法を示すスニペットを提供することで、これらエクスプロイトの手口を防御側が理解しやすいようにしておきます。

CVE-2022-22954

VMware Workspace ONE AccessとVMware Identity Managerにはサーバーサイド テンプレート インジェクションに起因するリモートコード実行(RCE)の脆弱性が存在します。悪意のある攻撃者はサーバーサイド テンプレート インジェクションをトリガー可能です。

VMwareのサーバーサイド テンプレート インジェクションのリモートコード実行の脆弱性(CVE-2022-22954)を説明するスニペット
図6. VMwareのサーバーサイド テンプレート インジェクションのリモートコード実行脆弱性

CVE-2022-22963

Spring Cloud Functionには、ルーティング機能を利用するさいにユーザーが特別に細工したSpELをルーティング式として提供することによりリモートコード実行やローカルリソースアクセスが可能となる脆弱性があります。

Spring Cloud SpELのリモートコード実行の脆弱性(CVE-2022-22963)を説明するスニペット
図7 Spring Cloud SpELのリモートコード実行の脆弱性

CVE-2022-22965

Spring MVC、Spring WebFluxのアプリケーションには、データバインディングを介するリモートコード実行の脆弱性があります。この特定のエクスプロイトでは、対象のアプリケーションがTomcat上でWAR形式でデプロイされて実行されている必要があります。

Spring Coreのリモートコード実行の脆弱性(CVE-2022-22965)を説明するスニペット
図8 Spring Coreのリモートコード実行の脆弱性

CVE-2022-25060

TP-LINKには、oal_startPingコンポーネントを介したコマンドインジェクションの脆弱性が存在することが明らかになりました。

TP-LINKのコマンドインジェクションの脆弱性(CVE-2022-25060)を説明するスニペット
図9 TP-LINKのコマンドインジェクションの脆弱性

CVE-2022-22947

Spring Cloud Gatewayには、Gateway Actuatorのエンドポイントが有効で公開状態かつ保護されていない場合に、アプリケーションがコードインジェクション攻撃を受けうる脆弱性があります。細工した悪意のあるリクエストを送ることにより、攻撃者はリモートから脆弱なホスト上で任意のコマンドを実行できるようになります。

Spring Cloud Gatewayのコードインジェクションの脆弱性(CVE-2022-22947)を説明するスニペット
図10 Spring Cloud Gatewayのコードインジェクションの脆弱性

CVE-2022-24112

攻撃者は、バッチ リクエスト プラグインを悪用してリクエストを送信することにより、Admin APIのIP制限を回避できます。Apache APISIXのデフォルト設定(APIキーがデフォルト)の場合、リモートコード実行の脆弱性があります。

Apache APISIX のリモートコード実行の脆弱性(CVE-2022-24112)を説明するスニペット
図11 Apache APISIXのリモートコード実行の脆弱性

CVE-2022-22536

SAP NetWeaver Application Server ABAP、SAP NetWeaver Application Server Java、ABAP Platform、SAP Content Server、SAP Web Dispatcher の各製品には、リクエスト スマグリング(request smuggling)とリクエスト コンカチネーション(request concatenation)に対する脆弱性があり、未認証の攻撃者が被害者のリクエストに任意のデータをプリペンド可能です。

SAPの複数の製品のHTTPリクエスト スマグリングの脆弱性(CVE-2022-22536)を説明するスニペット
図12. SAPの複数製品のHTTPリクエスト スマグリングの脆弱性

CVE-2021-24762

Perfect Survey WordPressプラグインはquestion_id GETパラメータの検証とエスケープ処理をしないままget_questionAJAXアクションのSQL文で使用しています。これを悪用すると、未認証のユーザーがSQLインジェクションを実行できます。

WordPress Perfect SurveyプラグインのSQLインジェクションの脆弱性(CVE-2021-24762)を説明するスニペット
図13. WordPress Perfect SurveyプラグインのSQLインジェクションの脆弱性

CVE-2022-21662

WordPressコアの特権レベルの低い認証済みユーザーが、JavaScriptや格納型クロスサイトスクリプティング攻撃を実行できます。これにより、高い特権レベルのユーザーにも影響を与えられます。

WordPressコアの投稿のスラッグ(slug)を介した格納型クロスサイトスクリプティングの脆弱性(CVE-2022-21662)を説明するスニペット
図14 WordPressコアの投稿のスラッグを介した格納型クロスサイトスクリプティングの脆弱性

CVE-2021-43711CVE-2022-25075

TOTOLINK内のバイナリファイルdownloadFlile.cgiには、GETパラメータを受信するさいに、コマンドインジェクションに対する脆弱性があります。このパラメータ名は、未認証コマンドの実行用に構成することができます。

TOTOLINK EX200のコマンドインジェクションの脆弱性(CVE-2021-43711とCVE-2022-25075)を説明するスニペット
図15. TOTOLINK EX200のコマンドインジェクションの脆弱性

CVE-2022-25134

TOTOLINK Technologyのルータの機能setUpgradeFWにはコマンドインジェクションの脆弱性があり、攻撃者に任意のコマンドを実行されるおそれがあります。

TOTOLINKのコマンドインジェクションの脆弱性(CVE-2022-25134)を説明するスニペット
図16. TOTOLINKのコマンドインジェクションの脆弱性

CVE-2021-4045

TP-Link Tapo C200 IP カメラは、未認証のリモートコード実行の脆弱性に影響を受けるおそれがあります。この脆弱性は、デフォルトでroot権限で実行されているuhttpdバイナリに存在します。この脆弱性を悪用した攻撃者はカメラを完全に自身の制御下におくことができます。

TP-Link Tapo C200のリモートコード実行の脆弱性(CVE-2021-4045)を説明するスニペット
図17 TP-Link Tapo C200のリモートコード実行の脆弱性

CVE-2022-24260

VoIPmonitor GUIにはSQLインジェクションの脆弱性があり、攻撃者がAdministratorレベルに特権を昇格できます。

VoIPmonitor GUIのSQLインジェクションの脆弱性(CVE-2022-24260)を説明するスニペット
図18. VoIPmonitor GUIにSQLインジェクションの脆弱性

CVE-2021-21881

Lantronix PremierWaveのWeb Manager Wireless Network Scanner機能には、OSコマンドインジェクションの脆弱性が存在します。特別に細工されたHTTPリクエストでコマンドを実行されるおそれがあります。攻撃者は認証済みHTTPリクエストを行うことでこの脆弱性をトリガーできます。

Lantronix PremierWave 2050のコマンドインジェクションの脆弱性(CVE-2021-21881)を説明するスニペット
図19 Lantronix PremierWave 2050のコマンドインジェクションの脆弱性

CVE-2022-21371

Oracle WebLogic Serverには容易に悪用可能な脆弱性が存在します。これにより、HTTP経由でネットワークにアクセスできる未認証の攻撃者がOracle WebLogic Serverを侵害可能です。

Oracle Weblogic Serverのローカル ファイル インクルージョンの脆弱性(CVE-2022-21371)を説明するスニペット
図20 Oracle Weblogic Serverのローカル ファイル インクルージョンの脆弱性

CVE-2022-27226

iRZ Mobile Routerの/api/crontabにはクロスサイトリクエストフォージェリ(CSRF)の脆弱性があります。これを悪用すると脅威アクターがルーターの管理パネルにcrontabエントリを作成できます。cronjobは脅威アクターの定義した間隔で当該エントリを実行し、これがリモートコード実行をトリガーして、脅威アクターがファイルシステムにアクセスできるようになります。

iRZ Mobile Routerのクロスサイトリクエストフォージェリ(CSRF)の脆弱性(CVE-2022-27226)を説明するスニペット
図21. iRZ Mobile Routerのクロスサイトリクエストフォージェリの脆弱性

CVE-2022-29464

特定のWSO2製品には無制限にファイルアップロードを許可するという問題があり、これがリモートコマンド実行の脆弱性につながります。攻撃者はContent-Dispositionディレクトリトラバーサルシーケンスに/fileuploadエンドポイントを使い、webルート下のディレクトリ、たとえば../../../../repository/deployment/server/webappsディレクトリに到達する必要があります。

WSO2製品の任意のファイルアップロードの脆弱性(CVE-2022-29464)を説明するスニペット
図22. WSO2製品の任意のファイルアップロードの脆弱性

そのほかの今期アクティブなCVE:

  • CVE-2021-20167CVE-2021-20166: Netgear RAX43におけるコマンドインジェクションの脆弱性
  • CVE-2021-39226: Grafana Labs Grafana Snapshotにおける認証バイパスの脆弱性
  • CVE-2021-28169: Eclipse Jettyにおける情報漏えいの脆弱性
  • CVE-2021-31589: BeyondTrustにおけるリモートサポート クロスサイトスクリプティングの脆弱性

攻撃カテゴリの分布

各ネットワーク攻撃をカテゴリ別に分類し、悪用頻度が高いものから順にランキングしました。今回対象とした期間では、リモートコード実行(RCE)が1位、トラバーサル攻撃が2位となっています。攻撃者は一般に、標的のシステムから最大限情報を得て、可能な限りコントロールしたいと考えています。情報漏えい攻撃は今四半期は減少していました。

ここでは赤が「緊急」、黄が「高」、青が「中」を表しています。攻撃カテゴリ(悪用頻度が高いものから順に): リモートコード実行、トラバーサル、情報漏えい、クロスサイトスクリプティング(XSS)、SQLインジェクション、メモリ破損、不適切な認証、コマンドインジェクション、バッファオーバーフロー、特権昇格。
図23. 2022年2月~4月の攻撃カテゴリ分布

攻撃の起点

各ネットワーク攻撃の起点となった地域を特定したところ、米国からの発信が大半で、次いでドイツ、ロシアとなっているようです。ただし攻撃者はそれらの国に設置されたプロキシサーバーやVPNを利用し、実際の物理的な場所を隠している可能性があることも私たちは認識しています。

2022年2月~4月に観測された攻撃起点を頻度順にランキングしたもの米国74.1%、ドイツ4.2%、ロシア2.8%、アイルランド1.6%、オランダ1.5%、フランス1.4%、中国1.3%、カナダ1.1%、その他11.1%
図24. 2022年2月~4月に観測された攻撃起点を頻度順にランキングしたもの
攻撃起点と想定される場所を示すヒートマップ米国が最も赤が濃く、次いでドイツ、ロシアとなっています。
図25. 2022年2月~4月の攻撃起点のジオロケーション分布

結論

2022年2月~4月に公開された脆弱性を確認すると、Webアプリケーションは依然として人気のある攻撃対象で、「緊急」の脆弱性にはPoCが公開されている可能性が高いことがわかります。それと同時に、新たに公開される脆弱性が実際に悪用されている様子も継続的に捕捉されています。このことからも、組織が迅速にパッチを適用してセキュリティのベストプラクティスを実装する必要性が強調されます。攻撃者たちは一致団結し、すきあらば手持ち兵器を増強する機会を伺っていることを忘れてはいけません。

サイバー犯罪者が悪意のある活動を停止することは決してありませんが、パロアルトネットワークスのお客様は、次世代ファイアウォール脅威防御WildFireAdvanced URL Filteringなどのクラウド型セキュリティサービス、およびCortex XDRを通じて、本稿で取り上げた脆弱性からの保護を受けています。

自組織のネットワークに対するリスクをさらに緩和するため、以下を検討してください。

追加リソース

2022-09-07 10:00 JST 英語版更新日 2022-09-02 12:30 PDT の内容を反映。誤って掲載されていたCVE (CVE-2021-38406、CVE-2022-23253)を削除しました。