Tenable ブログ
ブログ通知を受信する2021 年の最も注目すべき脆弱性と上位に入らなかった脆弱性
Tenable が編纂した「脅威状況のまとめ (2021 年)」では、2021 年に発見された最も注目すべき脆弱性 5 件が詳しく解説されています。本稿では、そこで取り上げられなかった他の影響度の高い脆弱性について詳細を探ります。
「脅威状況のまとめ (2021年)」では、数多くの脅威の中からセキュリティレスポンスチームが 2021 年の脆弱性トップ 5 を選出しました。
このブログ記事では、選出プロセスについて見ていきます。また、選択基準やトップ 5 に入らなかった影響度の高い脆弱性についても解説します。
本記事は、サイバーセキュリティ専門家が脅威状況を継続的に分析できるよう支援する Tenable の「脅威状況のまとめ (2021)」(以下、TLR2021) を補完するものです。TLR2021 には、深刻度の高い脆弱性や注目度の高いセキュリティインシデントに対する政府、ベンダー、研究者によるアドバイスが含まれています。
2021 年脆弱性トップ 5 の選出方法
「脅威状況のまとめ (2020 年)」を編纂したときには、脆弱性トップ 5 の個別の CVE を選出することが比較的簡単でした。実際、2020 年のトップ 5 の CVE の大半は、2021 年でも引き続き企業に影響を与えており、その内の 1 つである CVE-2020-1472 (Zerologon) は、 2021 年でも引き続きトップ 5 に入っています。
一方、2021 年では、一連の脆弱性が集まってクラスタとしてセキュリティ脅威を形成しています。そのため、クラスタから「代表的な」CVE を選択しました。これらは、2021 年に頻繁に攻撃対象となった種類の脆弱性や特定の製品で発見された脆弱性です。たとえば、TLR2021 では Microsoft Exchange Server の 8 件の脆弱性が記載されていますが、ProxyLogon と名付けられた CVE-2021-26855 は、広範なエクスプロイトを可能にした最初の脆弱性であり、現在でも悪用されています。
次に脆弱性トップ 5 の重要な選出基準である長期的影響について見ていきます。お気づきかもしれませんが、CVE-2021-44228 (Log4Shell) はトップ 5 に入っていません。これは、Log4j 2.0 の脆弱性の長期的な影響がまだ明らかになっていないからです。今後、これらの脆弱性は引き続き悪用されるかもしれませんが、TLR2021 発行時では長期的な影響が不明でした。私たちの分析では、長期的な脆弱性が企業にとって最大のリスクであることが確認されています。
ゼロデイ脆弱性は、一般的に開示されてレガシーのステータスに移行した後に問題となる傾向があります。
脆弱性トップ 5 の重要な選出基準をまとめると、次のとおりです。
- 頻繁に攻撃者から標的にされた製品における代表的な脆弱性
- 継続的で広範囲な攻撃につながる脆弱性
- 価値の高い資産を標的とした攻撃チェーンを可能にする脆弱性
- 汎用性の製品やプロトコルを攻撃する脆弱性
次に、トップ 5 に入らなかった脆弱性をこれらの基準に照らして確認してみましょう。
CVE | 説明 | CVSSv3 スコア | Tenable VPR* |
---|---|---|---|
CVE-2021-26855 | Microsoft Exchange Server のリモートコード実行可能な脆弱性 | 9.8 | 9.9 |
CVE-2021-34527 | Windows Print Spooler のリモートコード実行可能な脆弱性 | 8.8 | 9.8 |
CVE-2021-21985 | VMware Vsphere のリモートコード実行可能な脆弱性 | 9.8 | 9.4 |
CVE-2021-22893 | Pulse Connect Secure の認証バイパスの脆弱性 | 10 | 10.0 |
CVE-2020-1472 | Windows Netlogon のプロトコルの実装における権限昇格の脆弱性 | 10 | 10.0 |
CVE-2021-20016 | SonicWall SMA の SQL インジェクション | 9.8 | 9.7 |
CVE-2021-40444 | Windows MSHTML のリモートコード実行可能な脆弱性 | 7.8 | 9.9 |
CVE-2021-30116 | Kaseya VSA のクレデンシャルエクスポージャー | 9.8 | 9.7 |
CVE-2021-36942 | Windows LSA のなりすましの脆弱性 | 5.3 | 5.0 |
CVE-2021-27101 | Accellion FTA の SQL インジェクション | 9.8 | 9.0 |
*なお、Tenable の VPR スコアは、毎日、夜間に計算されます。VPR は、本記事公開時 (2022 年 3 月 13 日) の時点のスコアを反映しています。
CVE-2021-20016: SonicWall SMA のゼロデイ脆弱性
2021 年 1 月、SonicWall は、内部システムが攻撃者により侵害されたことを公表し、2 月には、Secure Mobile Access (SMA) SSL VPN のゼロデイ脆弱性である CVE-2021-20016 について勧告しました。NCC Group により発見された CVE-2021-20016 は、SQL インジェクションの脆弱性であり、この脆弱性を悪用すると認証されていないリモートの攻撃者はログイン資格情報とセッション情報にアクセスできるようになります。
CVE-2021-20016 を悪用する攻撃は、Mandiant によると FiveHands と呼ばれるランサムウェアに関連付けられていますが、NCC Group は、SonicWall の最初の公表直後、パッチが利用可能になる前に「無差別の悪用の兆候」も確認しています。NCC Group は、新たな攻撃に悪用されるリスクを抑えるために CVE-2021-20016 に関する重要な詳細や概念実証 (PoC) をリリースしていません。
@SonicWall のアドバイザリ https://t.co/teeOvpwFMD に従い、説明のある脆弱性に関連すると想定できる脆弱性の悪用の可能性を実証し、その内容を SonicWall に送りました。その他にも多数悪用されている兆候が発見されています。詳細はログをご覧ください。
— NCC Group Research & Technology (@NCCGroupInfosec) January 31, 2021
トップ 5 に選出されなかった理由
CVE-2021-20016 は、選出基準の多くを満たしますが、トップ 5 の脆弱性と比べて影響度が低かったため、トップ 5 に入りませんでした。おそらく、PoC が公開されていないため、ProxyLogon、PrintNightmare、SSL VPN の他の脆弱性などのような大規模な攻撃はなく、そのため、Pulse Connect Secure の脆弱性が、VPN 製品に対するリスクを代表していると見なされました。CVE-2021-22893 がすでにトップ 5 に含まれているので、脅威状況を完全に把握するために、他の種類の事例に関連した脆弱性を入れる必要があると考えました。
CVE-2021-40444: Microsoft MSHTML のゼロデイ脆弱性
CVE-2021-40444 は、MSHTML (Trident) プラットフォームにおけるリモートコード実行の脆弱性です。マイクロソフトは、確認された攻撃に対応して 2021 年 9 月 7 日にこの脆弱性に関する情報を公表しましたが、1 週間後に月例セキュリティ更新プログラムが公開されるまで修正はリリースされず、その間、20 個以上の PoC リポジトリが GitHub で公開されました。この脆弱性を悪用するには、攻撃者はフィッシングなどのソーシャルエンジニアリングを使用して、悪意のある Microsoft Office ドキュメントを開くようにターゲットとなる人をそそのかします。
CVE-2021-40444 は、限定された標的型攻撃で悪用されているゼロデイ脆弱性です。特に、持続的標的型攻撃グループによる標的型サイバースパイ攻撃で引き続き悪用されています。完全なアドバイザリの公開後、マイクロソフトは、「サービスとしてのランサムウェア関連会社を含む複数の攻撃者」が CVE-2021-40444 を悪用していることを確認しました。
RiskIQ は、CVE-2021-40444 を悪用する最初の攻撃が、Ryuk ランサムウェアファミリと共通のインフラを共有していることを発見しましたが、完全に一致していないことが研究者によって指摘されています。
トップ 5 に選出されなかった理由
CVE-2021-40444 を悪用するのはランサムウェアグループだけではありません。この脆弱性を悪用する主な攻撃は標的型で、ユーザーの操作を必要とする特別に調整されたフィッシングルアーを使用します。そのため、この脆弱性の影響範囲が制限され、進行中のフィッシング攻撃で使用されることが予想されますが、Microsoft Exchange の脆弱性と比べて影響度は低いと見なされました。
CVE-2021-30116、CVE-2021-30119、CVE-2021-30120: Kaseya VSA
サイバーセキュリティインシデントは祝日のある週末に発生することが多いと指摘されています。2021 年に発生した事象の中で最も重要なものとして、7 月5 日に Kaseya Limited はリモート監視および管理ソフトウェアである VSA の 3 件のゼロデイ脆弱性が大規模なランサムウェア攻撃で悪用されたことを発表しました。この攻撃は後日、REvil ランサムウェアグループによることが判明しました。
CVE | 説明/対策 | CVSSv3 | Tenable VPR* |
---|---|---|---|
CVE-2021-30116 | 認証情報の不十分な保護に関する脆弱性 | 9.8 | 9.7 |
CVE-2021-30119 | クロスサイトスクリプティング | 5.4 | 5.7 |
CVE-2021-30120 | 不正な認証に関する脆弱性 | 7.5 | 5.1 |
7 月 4 日は米国独立記念日の祝日ですが、この事件の開示と調査は旋風を巻き起こしました。攻撃は 7 月 2 日に最初に報告され、パッチは 7 月 11 日にリリースされました。
7 月の事件以来、Kaseya 製品における脆弱性が数多く公開されていますが、これらの脆弱性を突いた攻撃は確認されていません。本記事の公開時点では、1 件の脆弱性 (CVE-2021-40386) しか修正されていません。
トップ 5 に選出されなかった理由
この一連の脆弱性は、大きな問題を引き起こしたゼロデイ脆弱性のサブカテゴリに分類されますが、トップ 5 の他の脆弱性で見られたような長期的な影響はありませんでした。Kaseya は、「影響を受けたお客様の割合はごくわずかで、現在、世界中で 40 未満と推定されている」と述べています。興味深いことに、国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁の既知の悪用された脆弱性カタログに追加されているのは CVE-2021-30116 だけです。だからといって、他の 2 つの脆弱性に悪用がないとは断言できませんが、トップ 5 内の他の脆弱性と違うので比較に使える情報です。
PetitPotam (CVE-2021-36942)
PetitPotam は、ここで取り上げられている他の脆弱性と比べて少し変わっています。これは、個別の脆弱性ではなく、NTLM(New Technology LAN Manager) のリレー攻撃です。Gilles Lionel により最初に開示された PetitPotam は、ドメインコントローラに攻撃者が制御するマシンの認証を強制する手法です。開示後まもなく、PoC は LockFile などのランサムウェアグループに悪用されました。当初、マイクロソフトはこの問題を修正せず、NTLM リレー攻撃から保護するために一般的な軽減策オプションを主に提供していました。
CVE-2021-36942 は、この攻撃に関連する脆弱性です。これは、CVSSv3 スコア 7.8 の Windows LSA のなりすましの脆弱性であり、8 月月例セキュリティ更新プログラムで修正されました。ただし、後日の報告では、このパッチが不完全であることが指摘されています。この件では、脆弱性自体がこの攻撃手法の真のリスクを表すものではないことに注意することが重要です。
トップ 5 に選出されなかった理由
PetitPotam は、攻撃者により Zerologon と同様に悪用されていますが、対象となるアタックサーフェスが小さく、悪用はあまりありません。また、PetitPotam に関連した脆弱性には、評価された脆弱性の内、最も低い CVSSv3 スコアが付けられていますが、選出には影響を与えませんでした。また、スコアが 5.3 の脆弱性が、トップ 10 に入ったことも注目に値します。
CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104: Accellion File Transfer Appliance
2020 年の年末から 2021 年の年始にかけて、多くの企業 (Tenable の調査では 40 社以上) が Accellion の File Transfer Appliance (FTA) に存在する 4 件のゼロデイ脆弱性を悪用した攻撃の被害を受けました。
CVE | 説明/対策 | CVSSv3 | Tenable VPR* |
---|---|---|---|
CVE-2021-27101 | SQL インジェクション | 9.8 | 9.0 |
CVE-2021-27102 | OS コマンドインジェクション | 7.8 | 8.4 |
CVE-2021-27103 | サーバーサイド リクエストフォージェリ | 9.8 | 8.4 |
CVE-2021-27104 | OS コマンドインジェクション | 9.8 | 8.4 |
公表直後、これらの攻撃の一部は Clop/CL0P と呼ばれるランサムウェアグループとの関連が確認されました。Accellion FTA に関連する攻撃の公表は、2021 年の年始を通して発生し続け、これらのゼロデイ脆弱性は、2021 年前半で最も悪用された脆弱性の 1 つになりました。
トップ 5 に選出されなかった理由
これらの脆弱性は、攻撃を受けた企業には大きな影響を及ぼしましたが、影響は比較的すぐ収束しました。Accellion を悪用する攻撃は、2021 年 1 月にピークに達しましたが、トップ 5 に入った脆弱性のような長期的な影響は見られませんでした。
トップ 5 に入らなかった脆弱性に共通するテーマ
また、トップ 5 に入ったいくつかの脆弱性は、個別の CVE ではなく、脆弱性のクラスタ、またはチェーンの一部として悪用されていることも注目に値します。このような特徴はトップ 5 の選出基準ではありませんでしたが、判断するための重要な要素でした。また、企業に対する長期的なリスクとなる脆弱性だけでなく、独自性のある脆弱性も探しました。Microsoft Exchange Server と Print Spooler における脆弱性からトップ 5 を選出することもできましたが、多くの企業が導入する可能性のある、広範囲な製品に注目することにしました。
また、トップ 5 に入らなかった脆弱性はすべてゼロデイ脆弱性であったのに対し、トップ 5 では最後の 2 件だけがゼロデイ脆弱性でした。今年になってゼロデイ攻撃を悪用する攻撃の増加が見られました (TLR2021 で調査したゼロデイの 83% が実攻撃で確認) が、パッチが適用されていない既知の脆弱性は、引き続き攻撃者に最も頻繁に悪用されています。
被害を受けた企業にとってこれらの脆弱性の影響は深刻でしたが、脆弱性の影響範囲は広範ではありませんでした。攻撃者は、多数の脆弱性を悪用できますが、トップ 5 の脆弱性は、より多くの攻撃で悪用された脆弱性です。脆弱性の影響範囲にかかわらず、本記事に記載されている脆弱性が存在する場合は、直ちに影響を受ける資産を特定し、修正対策を計画する必要があります。
影響を受けているシステムの特定
Tenable は、Tenable.io、Tenable.sc、および Nessus Professional のスキャンテンプレートをリリースしました。これらのテンプレートは、本記事で解説されている脆弱性を迅速に検出できるように事前構成されています。また、Tenable.io のお客様には、新しいダッシュボードと新しいウィジェットがライブラリで提供されています。Tenable.sc のユーザーにも、「脅威状況のまとめ (2021)」の内容に沿った新しいダッシュボードが提供されています。
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
関連記事
- Research Reports
- Vulnerability Management