政府機関が警告 : 国家レベルのアクターが公開されている既知の脆弱性を悪用している (日本語)
ロシアと中国の支援を受けているアクターが、公開されている既知の脆弱性を攻撃に利用しています。利用されている脆弱性は共通で複数あり、どれもすでにパッチが利用可能なものです。
10 月 20 日付で NSA が詳細なセキュリティアドバイザリを発行し、中国政府の支援を受けている「サイバーアクター」が既知の脆弱性を悪用していることを発表しました。セキュリティ担当者にパッチの適用と被害の緩和に向けた対応を早急に行うことを促し、さらに、外部のウェブサービスやリモートアクセスツールなどインターネットとインターフェースがあるアセットが、今回の主な標的であることを指摘しています。
2 日後、CISA が FBI と共同のサイバーセキュリティアドバイザリを発行し、ロシアの国家支援のもとに APT のアクターが、5 つの公開されている脆弱性を攻撃に利用していることを発表しました。このうち、3 つの脆弱性は、NSA のアラートにも含まれていました。
NSA のアラートは、主に米国のセキュリティシステムに着目したものでしたが、最後に次のような広範囲な警告が記載されています。「本警告で言及している情報は、これらの業種外にあるさまざまなシステムやネットワークにも影響を与える可能性があるので、NSAとしては、上記のCVEを優先して行動をとることをすべてのネットワークの防御担当者に推奨する」
これらのアドバイザリで言及されている脆弱性は、ここ 1 年間でCISA が発表した同様のアラートの内容と一致し、そのすべてに利用可能なパッチがあります。
今までのアドバイザリ
今年になって、政府機関は、脅威アクターがパッチが利用可能な既知脆弱性を悪用しているという内容のアラートを数多く発表しています。今回のアラートがその最新のものです。警告に含まれている脆弱性のうち、2 つは、NSA の CVE-2020-19781 と CVE-2019-11510 で報告され、CISA の もっとも定常的に悪用されている脆弱性のトップ 10 件に関する警告で 2020 年で最も悪用されている脆弱性として特定されました。それ以前、10 月には、CISA は FBI と協力して、APT 活動に関する共同アドバイザリを発行し、CVE-2020-1472 「Zerologon」を含む数個の脆弱性の悪用について警告しました。この共同アドバイザリに記載されている脆弱性の内、数個が今回の NSA アラートにも含まれています。
パッチと緩和策
NSA のアラートには、一般的な緩和手段として、6 つのステップが記載されています。筆頭は、タイムリーなパッチ適用とアップデートです。
- システムと製品を最新のバージョンで維持し、パッチがリリースされた時にはなるべく早く適用する
- パッチ適用以前に盗まれたり改ざんされたりしたデータ (資格情報、アカウント、ソフトウェアなど) はパッチによって修復されないので、パスワードの変更、アカウントのリビューの徹底などが良いプラクティスである
- 外部からの管理ができないようにし、帯域外の管理ネットワークを設定する
- ネットワークの端にある、陳腐化したプロトコルや不使用なプロトコルをブロックして、デバイス構成で無効にする
- ネットワーク内のサービスでインターネットと接続するものを遮断して DMZ に入れ、ネットワーク内部の露呈を削減する
- インターネットに接続するサービスのロギングを徹底的に実行し、記録から侵害の兆候などを監視する
政府機関がこのように一連の警告を発表していることは、これらの脆弱性に対するパッチを迅速に完全に適用することの重要性を十二分に示唆しています。さまざまなレベルのスキルのある脅威アクターは、これらの脆弱性をさまざまな標的にむけた攻撃に活発に利用しています。対象となるデバイスのパッチが適用されない限り、これらの標的は攻撃の対象から外されません。
Tenable のカバレッジ
Tenable の製品は、NSA と CISA/FBI のアラートに含まれている脆弱性 27 件、全部に対してカバレッジがあります。下に、各脆弱性に関連したプラグインと、Tenable Research の分析情報を表にまとめました。
| CVE | 製品 | 公開された日 | プラグインとその他の情報 |
|---|---|---|---|
| CVE-2015-4852 | Oracle WebLogic Server | 2015/11 | プラグイン |
| CVE-2017-6327 | Symantec Messaging Gateway | 2017/8 | プラグイン |
| CVE-2018-6789 | Exim Message Transfer Agent | 2018/2 | プラグイン |
| CVE-2018-4939 | Adobe ColdFusion | 2018/5 | プラグイン |
| CVE-2019-3396 | Atlassian Confluence | 2019/3 | プラグイン | ブログ |
| CVE-2019-0708 | Windows リモートデスクトッププロトコル | 2019/4 | プラグイン | ブログ 1、2、3 |
| CVE-2019-0803 | Windows Win32k | 2019/4 | プラグイン |
| CVE-2019-11510 | Pulse Connect Secure | 2019/4 | プラグイン | ブログ 1、2、3、4 |
| CVE-2019-11580 | Atlassian Crowd | 2019/6 | プラグイン | ブログ |
| CVE-2019-1040 | Windows NTLM | 2019/6 | プラグイン |
| CVE-2019-18935 | ASP.NET 用 Telerik UI | 2019/12 | プラグイン | ブログ |
| CVE-2019-19781 | Citrix Application Delivery Controller (ADC)、Gateway および SDWAN WAN-OP | 2019/12 | プラグイン | ブログ1、2、3、4、5、6 |
| CVE-2020-0601 | Windows CryptoAPI | 2020/1 | プラグイン | ブログ 1、2 |
| CVE-2020-2555 | Oracle Coherence | 2020/1 | プラグイン | ブログ |
| CVE-2020-3118 | Cisco Discovery Protocol | 2020/2 | プラグイン | ブログ |
| CVE-2020-0688 | Microsoft Exchange Server | 2020/2 | プラグイン | ブログ 1、2、3 |
| CVE-2020-8515 | DrayTek Vigor | 2020/2 | プラグイン |
| CVE-2020-10189 | Zoho ManageEngine | 2020/3 | プラグイン | ブログ |
| CVE-2020-5902 | F5 BIG-IP | 2020/7 | プラグイン | ブログ 1、2、3 |
| CVE-2020-15505 | MobileIron MDM | 2020/7 | プラグイン | ブログ |
| CVE-2020-1350 | Windows DNS Server | 2020/7 | プラグイン | ブログ |
| CVE-2020-8193 | Citrix ADC、Gateway、SDWAN WAN-OP | 2020/7 | プラグイン | ブログ |
| CVE-2020-8195 | Citrix ADC、Gateway、SDWAN WAN-OP | 2020/7 | プラグイン | ブログ |
| CVE-2020-8196 | Citrix ADC、Gateway、SDWAN WAN-OP | 2020/7 | プラグイン | ブログ |
| CVE-2020-1472 | Microsoft Netlogon | 2020/8 | プrグイン | ブログ 1 、2、3 |
| CISA/FBI アラート (AA20-296A) に記載された脆弱性 | |||
| CVE-2018-13379 | Fortinet VPN | 2019/5 | プラグイン | ブログ 1、2、3 |
| CVE-2019-10149 | Exim | 2019/6 | プラグイン | ブログ |
詳細情報
- 10/29 に米国時間帯にウェビナーが開催されます。最新の国家支援攻撃に万全の処置を取る(Ramp-Up Your Response to Latest State Sponsored Attacks) 2020/10/29 (木) 東部標準時午後2時
- NSA アラート: Chinese State-Sponsored Actors Exploit Publicly Known Vulnerabilities (中国政府支援のアクターが既知脆弱性を悪用)
- CISA/FBI アラート (AA20-296A): ロシアの国家支援を受けた高度な持続型脅威アクターが米国を侵害政府機関の標的を侵害)
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
Tenable セキュリティ リスポンスチーム
Tenable セキュリティ リスポンスチーム
Tenable Security Response Team (SRT) は、脅威と脆弱性のインテリジェンスフィードを追跡し、当社のリサーチチームがセンサーカバレッジを一刻も早く製品に提供できるようにしています。SRT はまた、技術的な詳細の分析と評価にも取り組んでおり、ホワイトペーパー、ブログ、その他の文章を書いて、確実にステークホルダーが最新のリスクと脅威を十分に把握できるようにしています。Tenable ブログでは、最新の脆弱性について概要を提供しています。関連記事
Cybersecurity Snapshot: NIST Offers Zero Trust Implementation Advice, While OpenAI Shares ChatGPT Misuse Incidents
Check out NIST best practices for adopting a zero trust architecture. Plus, learn how OpenAI disrupted various attempts to abuse ChatGPT. In addition, find out what Tenable webinar attendees said about their exposure management experiences. And get the latest on cyber crime trends, a new cybersecuri...
New Cybersecurity Executive Order: What You Need To Know
A new cybersecurity Executive Order aims to modernize federal cybersecurity with key provisions for post-quantum encryption, AI risk and secure software development....
Cybersecurity Snapshot: Experts Issue Best Practices for Migrating to Post-Quantum Cryptography and for Improving Orgs’ Cyber Culture
Check out a new roadmap for adopting quantum-resistant cryptography. Plus, find out how your company can create a better cybersecurity environment. In addition, MITRE warns about protecting critical infrastructure from cyber war. And get the latest on exposure response strategies and on CISO compens...
- Federal
- Government
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning