Tenable ブログ
ブログ通知を受信するリモートワーカーを保護するために見つけて修正する必要がある深刻度が「緊急」の脆弱性(英語)
不確実性の時代が働き方の転換をせまる中で、悪用が確認されている重大な脆弱性を特定し、優先度を付けて対処することが最優先の課題となっています。
私たちは先日、世界的な COVID-19 (新型コロナウイルス感染症) への対応が、どれだけ企業のアタックサーフェスを拡大させているかという点に関して、いくつかの知見をお伝えしました。当社独自の調査と、オープンソースのインテリジェンスによって形成されるこうした知見により、変化している労働力の動態を考慮に入れて組織が対処する必要のある、いくつかの主要な領域を垣間見ることができます。
毎年数万件もの脆弱性が発見されることを考えると、リスクが最も高い問題に的を絞ることが重要です。
CVSS の状況
共通脆弱性評価システム (CVSS) は、脆弱性の対象範囲と深刻度に関する有益な知見をもたらすために使用されている、業界標準のシステムです。CVSS スコアは通常、CVE が割り当てられた時点で定義されます。しかしこの指標は、脆弱性が与える影響の変化を、後々まで常に考慮するわけではありません。
たとえば、CVE-2019-11510 として識別されている、Pulse Connect Secure の Secure Socket Layer (SSL) 仮想プライベートネットワーク (VPN) の脆弱性は当初、2019年5月9日に CVSS スコア8.8が割り当てられ、結果としてこの脆弱性は深刻度「高」に分類されました。しかし、2019年8月21日にこの脆弱性の概念実証コードが公開されたにもかかわらず、CVSS スコアは1か月後の2019年9月20日まで、この脆弱性の重大な性質を反映するよう更新されませんでした。
同様に、CVE-2018-13379 として識別されている FortiGuard の SSL VPN の脆弱性は当初、2019年6月5日に CVSS スコア7.5が割り当てられました。しかし、この CVSS スコアは2019年9月19日まで、すなわち8月9日に脆弱性の調査結果が公表され、さらに8月22日に CVE-2019-11510 とともに脆弱性の悪用を確認する外部の研究が公開されてから1か月が経過するまで、更新されませんでした。
CVSS スコアは脆弱性の深刻度を示す有効な指標であり、無視すべきではありませんが、それだけに頼って脆弱性の修復に優先度を付けると、時に問題が起こる可能性があります。
このような脆弱性を優先的に対処する
Tenable の予測に基づいた優先度設定を採用すると、脆弱性には Vulnerability Priority Rating (VPR) が与えられます。これは CVSS を考慮するだけでなく、脅威インテリジェンスと一体となった機械学習アルゴリズムを活用して脆弱性に優先度を付けます。拡大するアタックサーフェスの保護の一助とするため、当社のチームおよびデータサイエンスチームが組織のパッチ適用に際して最も重要であると判断した脆弱性の一覧を、その VPR とともに以下に示します。
リモートワークの推進
社内ネットワークへの安全なアクセスを提供するために、Pulse Connect Secure、FortiGate、GlobalProtect、および Citrix の Application Delivery Controller や Gateway のような SSL VPN ソフトウェアが使用されていますが、こういったアプリケーションではいくつかの脆弱性が検出されており、脅威アクターによる悪用が確認されています。したがって、これらの SSL VPN のいずれかを使用している場合は、適切なパッチの適用を確実に行っていくことがますます重要となっています。
さらに、リモートデスクトップサービスにより、個人がまるで物理的にシステムの前にいるかのように、社内環境内のマシンに仮想的に接続することが可能になります。「BlueKeep」と名付けられた、リモートデスクトップサービスのリモートコード実行の脆弱性である CVE-2019-0708 は、次の「WannaCry」の攻撃を助長する可能性があるためにかなりの注目を集めた、別の欠陥です。こうした攻撃が実現したことは一度もありませんでしたが、数か月後、この脆弱性の悪用が確認されたという報告がありました。しかし、リモートデスクトップ自体は、日常的に悪用の試みを監視し、露出している RDP ターゲットを特定しておくべき領域です。
CVE | 製品 | CVSS v3.x | VPR* | 脅威の強度 |
---|---|---|---|---|
CVE-2019-11510 | Pulse Connect Secure | 10 | 10 | 非常に高い |
CVE-2018-13379 | FortiGate SSL VPN | 9.8 | 9.6 | 非常に高い |
CVE-2019-1579 | Palo Alto Networks GlobalProtect | 8.1 | 9.4 | 高 |
CVE-2019-19781 | Citrix Application Delivery Controller および Gateway | 9.8 | 9.9 | 非常に高い |
CVE-2019-0708 | リモートデスクトップサービス | 9.8 | 9.9 | 非常に高い |
*Tenable の VPR スコアは、夜毎に計算されることに留意してください。本ブログ記事は4月13日に発行されており、その時点での VPR を反映しています。
悪意のある E メールやエクスプロイトキットに使用される脆弱性
サイバー犯罪者が COVID-19 (新型コロナウイルス感染症) の恐怖に付け込む中、悪意のある文書により最も頻繁に悪用されている脆弱性の一つが CVE-2017-11882 です。これは Microsoft Office の数式エディターコンポーネントに存在する、スタックオーバーフローの脆弱性です。これは数年の間、悪意を持った E メール活動に付き物となっており、この先も脅威アクターのツールボックスの中に、共通のツールとして残り続けるでしょう。
脅威アクターが持っているもう一つの武器として、エクスプロイトキットの使用があります。これはサイバー犯罪者が設計したソフトウェアで、被害者のマシンに存在する広く普及したソフトウェアアプリケーションを特定し、悪用に最も適した脆弱性を選定します。CVE-2018-15982 や CVE-2018-4878 などの Adobe Flash Player の脆弱性は、いくつかのエクスプロイトキットにおける定番となっていましたが、Adobe Flash Player のサポート終了が近いこと、および HTML5 への移行とも相まって、いくつかのエクスプロイトキットからは Flash Player の脆弱性は完全に削除され、代わりに利用する別の脆弱性を探す事態となっています。2つのメモリオブジェクトを破壊することから研究者らに「Double Kill」と名付けられた、VBScript エンジンに存在する Use-After-Free の脆弱性である CVE-2018-8174 は、エクスプロイトキットで支持されるようになった、そうした脆弱性の一つです。
CVE | 製品 | CVSS v3.x | VPR* | 脅威の強度 |
---|---|---|---|---|
CVE-2017-11882 | Microsoft Office | 7.8 | 9.9 | 非常に高い |
CVE-2018-15982 | Adobe Flash Player | 9.8 | 9.9 | 非常に高い |
CVE-2018-8174 | Internet Explorer (VBScript エンジン) | 7.5 | 9.9 | 非常に高い |
CVE-2018-4878 | Adobe Flash Player | 7.5 | 9.8 | 非常に高い |
CVE-2017-0199 | Microsoft Office | 7.8 | 9.9 | 非常に高い |
*Tenable の VPR スコアは、夜毎に計算されることに留意してください。本ブログ記事は4月13日に発行されており、その時点での VPR スコアを反映しています。
悪用が確認されているその他の脆弱性
Cisco Adaptive Security Appliance (ASA) および Firepower Threat Defense (FTD) ソフトウェアの特定のバージョンを利用している組織では、CVE-2018-0296 にパッチを適用することが重要です。これは予期しないリロードを引き起こす、これらのデバイスのウェブインターフェイスに存在するサービス拒否の欠陥です。特定の脆弱なバージョンの ASA はリロードを行いませんが、認証されていない攻撃者がデバイス上の機密システム情報を表示できる可能性があると Cisco は警告しています。2019年の終わりには、この脆弱性の悪用の試みが急増したと報告されています。
さらに、ドキュメントの保管や管理に利用されている、広く普及している共同作業プラットフォームである Microsoft SharePoint に存在する、不適切な入力確認の脆弱性である CVE-2019-0604 は、2019年5月以降、悪用が確認されています。当初、この欠陥には CVSSv3 スコアの7.8が割り当てられました。これは2019年6月に8.8へと改訂され、さらに2019年12月には再び更新されて9.8となりました。組織で Microsoft SharePoint を利用している場合は、この欠陥にパッチを適用することが重要です。
CVE | 製品 | CVSSv3.x | VPR* | 脅威の強度 |
---|---|---|---|---|
CVE-2018-0296 | Cisco ASA および Firepower | 7.5 | 8.8 | 非常に低い |
CVE-2019-0604 | Microsoft SharePoint | 9.8 | 9.4 | 低 |
*Tenable の VPR スコアは、夜毎に計算されることに留意してください。本ブログ記事は4月13日に発行されており、その時点での VPR スコアを反映しています。
不確実性の海を航行する
この不確実性の時代における働き方に対するあらゆる変化とともに、組織はアタックサーフェスがどう移動し、それにどう対処するのが最善なのかを理解する必要があります。自社の環境にどんな資産があるのかを知ることでリスクを理解する上で、そしてリスクベースの意思決定を行うためのインサイトとしても、知識は力となります。リスクベースの脆弱性管理プログラムを組織に導入することが、この海図なき水域を航行していく皆様にとって、大きな助けとなります。
影響を受けているシステムの特定
これらの脆弱性を識別する Tenable プラグインのリストは、こちらからご覧いただけます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
関連記事
- Remote Workforce
- Vulnerability Management