本ブログ記事は、2020年9月23日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
この記事は、BlackBerryインシデント対応(IR)チームによるシリーズ記事の第1回目です。IRチームは、インシデントの発生を阻止するか、その影響を大幅に減らす重要な行動について調査しています。最近注目を浴びている重大な脆弱性(外部に接続されているデバイスに関するものも含む)の動向により、これらの教訓はますます重要性を増しています。以下に示すのは、パッチの適用や願わくはセキュリティ侵害の兆候を見つけようと、セキュリティ担当者をとりわけ忙しくさせている顕著な事例です。
- Citrix - CVE-2019-19781
- F5 - CVE-2020-5902
- Palo Alto - CVE-2020-2021
- Cisco - CVE-2020-3330, CVE-2020-3323, CVE-2020-3144, CVE-2020-3331, & CVE-2020-3140
- Microsoft - CVE-2020-1350
インサイト
IRコンサルタントとして、私たちは社内チームが追加の支援を必要とする段階まで悪化した状況に関わることがよくあります。その結果、極限状態をたくさん見ることになります。多数のセキュリティ侵害の根本原因を調査できれば、良くも悪くも決定的な瞬間となる、インシデントの重要な転換点を知ることができます。
言うまでもなく、はるかに低コストで悪影響が少ないため攻撃は事前に阻止するのが一番です。しかしながら、それは必ずしも可能とは限りません。BlackBerryのインシデント対応チームが確認したセキュリティ侵害は、通常、人間の弱点(フィッシング)、脆弱な外部アクセスメカニズム、パッチが適用されていない外部の脆弱性という3つの問題のうちの1つ(またはいくつか)が主な原因となって起きています。きわめて成熟した階層的なセキュリティ体制を敷いている場合でも、意欲的で潤沢な資金を持つ脅威アクターは、最終的に初期アクセスを行える可能が高くなります。とはいえ、打つ手がないわけではありません。攻撃の大部分を阻止するか、少なくとも被害を抑えるために役立ついくつかの重要な軽減策があるからです。
トレンド
最も重要な軽減策は最初のコンピューターバグと同じくらい古いものですが、経験豊富な大きな組織でも見過ごされがちなものです。それは、脆弱性管理です。脆弱性管理は単なるパッチ管理と見なされることが多いのですが、計り知れない複雑さとリスクを秘めています。結論として、セキュリティ担当者はすべてにパッチを適用する必要があります。パッチが適用されていない脆弱性が1つでも見つかれば、攻撃者は利益を得ることができます(それが攻撃者が見つけようとしていた脆弱性である場合)。
その証拠に、番号CVE-2019-19781が割り当てられたCitrixの脆弱性に起因するIR調査が最近増える傾向にあり、私たちは脅威アクター(TA)がそのエクスプロイト活動の初期段階に力を入れていることに気づきました。要するに、公表されている脆弱性をその時点で目標を達成することは考えずに(攻撃者側の帯域幅に制限があるため)短い所要時間で悪用できるようにしておき、、バックドアをインストールして後でもう一度訪れようとします。
これは、外部に接続されているシステムのパッチが適用可能になる前に、その環境への足掛かりを得るための競争のようなものです。バックドアがインストールされると、元の脆弱性にパッチを適用しても、その環境への攻撃者のアクセスを排除することはできなくなります。
つい最近のF5(CVE-2020-5902)の脆弱性の事例では、ベンダーが脆弱性を公開してから3日も経たないうちにNCCはハニーポットのスキャンを確認しました。さらに、4日も経たないうちに最初のエクスプロイトが発生し、わずか5日後には利用可能なエクスプロイト(Metasploitなど)が公開され、6日後にはエクスプロイトの活動が増加しました。この脆弱性が公開されたタイミングも解決を難しくしました。状況が急速に悪化したのは7月4日の祭日と重なる週末の直前から週末中にかけてであり、セキュリティチームの対応を遅らせることになったからです。
脆弱性のリスクに基づいてパッチを適用および検証するための大まかな時間枠を定めた各種の推奨事項があります。しかし、エクスプロイトが公開されるか、システムの悪用が実際に報告されるまでは安全だという前提で運営されている組織も未だ存在します。これは、Citrix CVE-2019-19781の事例で明らかになったことです。脆弱性の発表から1か月半近く経っても、5社のうち1社は依然としてパッチを適用していないと推定されたのです。