1. HOME
  2. ブログ
  3. Blog
  4. 海外ブログ
  5. Barracuda Threat Spotlight(バラクーダが注目する脅威):パッチが適用されていないソフトウェアの脆弱性

Info.

お知らせ

海外ブログ

Barracuda Threat Spotlight(バラクーダが注目する脅威):パッチが適用されていないソフトウェアの脆弱性

Barracuda Threat Spotlight(バラクーダが注目する脅威):パッチが適用されていないソフトウェアの脆弱性 のページ写真 1

トピック: ネットワークおよびアプリケーションセキュリティWebアプリケーションファイアウォール

2021年7月21日、Tushar Richabadas

ソフトウェアの脆弱性は永遠の贈り物です。脆弱性が発見されてから数年経っても、既知の欠陥があるにもかかわらずインターネットに公開されているシステムの数は驚くべきものです。

最近、バラクーダのリサーチャーが過去2ヶ月間にバラクーダシステムによってブロックされた攻撃のデータを分析したところ、1日あたり数十万件の自動スキャンと攻撃が行われており、その数は時には数百万件にものぼり、さらに最近パッチが適用されたMicrosoftとVMwareの脆弱性に対しても1日あたり数千件のスキャンが行われていることがわかりました。

ここでは、当社のリサーチャーが発見した攻撃パターンと、これらのタイプの攻撃から保護するための対策について詳しくご紹介します。

脅威のハイライト

パッチが適用されていないソフトウェアの脆弱性 – Microsoftの脆弱性(通称:Hafnium)は、2021年3月に初めて公開されました。CVE-2021-26855は、Exchangeに存在するServer-Side Request Forgery(SSRF)の脆弱性で、攻撃者が任意のHTTPリクエストを送信し、Exchangeサーバーとして認証することが可能でした。公開されている情報によると、CVE-2021-26855は脆弱なシステムを特定するために使用されており、残りの脆弱性はこの脆弱性と連鎖してアクセスし、悪用されたシステムにWebシェルを落とすなど、さらなる悪用を行っているようです。

3月に入ってからは、この脆弱性に対するプロービングが増加しており、現在も世界中のセンサーや導入先で定期的なスキャンが行われています。プロービングは時々増加し、その後低いレベルまで減少します。

Hafnium scanning over time

VMware社の場合、2021年2月24日にCVE-2021-21972とCVE-2021-2373をリリースしました。CVE-2021-21972についても定期的にプロービングが行われていますが、スキャンに多少の下降が見られます。とはいえ、攻撃者が影響の大きい既知の脆弱性のリストを順に確認していく中で、これらのスキャンが時々増加することも予想されます。

VMware CVE-2021-21972

以上の2つのデータは、ソフトウェアの脆弱性、特に影響の大きい脆弱性は、パッチや緩和策がリリースされた後も、しばらくの間はスキャンされ続け、悪用され続けることを示しています。攻撃者は、防御側が常にパッチに対応するための時間や帯域幅がないことを理解しており、ネットワークへの容易な侵入手段を提供してしまうのです。

詳細

攻撃を分析しているうちに、攻撃のパターンも見えてきました。以前、ボットが就業時間の経過に沿って攻撃することを確認しましたが、今回は、攻撃側でも防御側でも1週間の仕事の流れは同じであるというパターンも見られました。また、攻撃者の多くは、自動化されたタスクを実行する場合でも、週末に休みを取るようです。これは、週末にあまり使われていないシステムを狙うことでアラームを鳴らすよりも、様々な活動を試みる際に群衆の中に隠れる方が簡単であるためだと思われます。

Attacks per weekday

また、これらの攻撃が一般的な攻撃タイプとどのように関連しているかを調べました。攻撃タイプには、偵察/ファジングの試みや、アプリケーションの脆弱性に対する攻撃が含まれます(WordPressが最も人気がありました)。一般的には、SQLインジェクション攻撃が多く、次いでコマンドインジェクション攻撃、その他の攻撃の順に多いと考えられています。しかし、今回は、コマンドインジェクションが圧倒的に多く、Windowsに対してコマンドを注入しようとする攻撃が多く見られました。これらの攻撃は、6月の2週間でピークに達し、その後は通常のトラフィックレベルに戻りました。残りの攻撃は、ほぼ予想通りのレベルであり、各カテゴリで特定の攻撃パターンは見られませんでした。

attack type

最後に、HTTPS トラフィックのレベルと、使用されているプロトコルのバージョンを分析しました。HTTPS を有効にし、最新のプロトコルを使用するように設定を更新することが非常に重要です。Barracuda WAF-as-a-Serviceの世界的な展開では、HTTPS(Lets Encryptとの統合)と、セキュアなプロトコルとサービスを簡単に設定できるようになっています。

世界各地で展開されているトラフィックを見ると、最新のTLS1.3が明らかにリードしており、TLS1.2がそれに続いています。これらのプロトコルが最も安全であることを考えると、これは良いニュースです。しかし、最も興味深いのは、古い安全でないSSL/TLSプロトコルに比べて、プレーンHTTPのトラフィック量が多いことです。

traffic protocols

ソフトウェアの脆弱性を狙った攻撃からの防御方法

既知のソフトウェアの脆弱性を利用した自動化された攻撃を防御するためには、必要なソリューションの数が多過ぎて、防御側は圧倒されることがあります。しかし、これらのソリューションは、WAF/WAF-as-a-Serviceソリューション(Web Application and API Protection services(WAAP))に集約されつつあります。

ガートナーが2020年のWAFマジック・クアドラントで次のように述べています。

ガートナーは、WAAPサービスをクラウドWAFサービスの進化形と定義しています。WAAPサービスは、クラウドで提供されるWAF、ボット軽減、DDoS防御、APIセキュリティのサービスとしての展開と、サブスクリプションモデルを組み合わせたものです。」

組織は、ボット軽減DDoS保護、APIセキュリティ、クレデンシャルスタッフィング保護を含むWAF-as-a-ServiceまたはWAAPソリューションを探し、それが適切に構成されていることを確認する必要があります。

Azure MarketplaceでのWAF-as-a-Serviceのテストドライブ

 

原文はこちら:

How to protect against attacks on software vulnerabilities

July 21, 2021 Tushar Richabadasi

https://blog.barracuda.com/2021/07/21/threat-spotlight-unpatched-software-vulnerabilities/

関連記事