先週のブログで、米国 National Vulnerability Database(NVD)の大量の脆弱性バックログから生じている問題を取り上げました。
何千もの CVE にいまだに分析データがありません。NVD はこれまで、開示されパッチが適用されるあらゆる脆弱性の信頼できるデータベースでしたが、現在は分析が大幅に遅れています。国立標準技術研究所(NIST)での処理が追いつくには最大 100 日かかる可能性があり、しかもそれはこの期間中に新たな脆弱性が開示されない場合の話です。
米国政府と NIST は考えられる解決策の整理に努めており、できればさらなる資金調達と再編成を行いたいとしています。その一方で NIST は、NVD の再構築またはそれに代わるものの作成を支援するコンソーシアムの立ち上げに期待を表明しています。
他の企業や組織が独自にまったく新しいソリューションを作るという案を持ち出しているセキュリティ専門家もいますが、最大の問題は、そうすることで企業や組織に何のメリットがあるのかということです。
NVD が機能しているのは、米国政府から資金提供を受けているからです。常に資金が入ってくるので労働力を確保でき、少なくとも MITRE や NVD に貢献している他の民間企業が NVD に取り組み続ける動機になっています。
世の中の「あらゆる」CVE について、まったく新しいデータベースを立ち上げるには数え切れないほどの工数がかかるでしょうし、(完成したとしても)結果がどうなるのか不透明です。新しいデータベースを作った会社や人は利用料を請求するかもしれません。
ここ数週間、「NVD Data Overrides」など、工数を提供するオープンソースのソリューションがいくつか登場し、「現在 NVD に欠けているデータを追加する」としています。そうはいっても、この種のボランティアプロジェクトは、CVSS(共通脆弱性評価システム)のスコアを割り当てることができません。というのは、正式な NVD の CVSS スコアを割り当てる権限を持つのは NVD だけだからです。
このことは、ソリューションを開発したいと考える民間企業に、別の問題を提起することになります。果たして企業が審判を務めたいと思うのか、という問題です。
ある脆弱性がどの程度深刻なのか、またどのようなシビラティ(重大度)スコアを割り当てるべきかについて意見の相違がある場合、NVD が議論に加わり、独自に算出した CVSS スコアを提供することになります。Microsoft 社や Apple 社のような巨大テクノロジー企業と、脆弱性の CVSS が 10 点満点中 9.5 点だと言うセキュリティ研究者の間に入る「悪者」になりたい人がいるのでしょうか。
私は、ボランティアやオープンソースの開発者が、基本的に何の見返りもなしに独自のソリューションに取り組んでいることを大いに評価します。しかし、このようなデータベースをいつまで維持し続けられるのでしょうか。
残念ながら、これについても満足のいく答えは持ち合わせていません。私は脆弱性管理の専門家とはほど遠く、連邦政府と何のコネクションもありません。ただ強く感じているのは、政府には解決策を打ち出す義務があり、新たに提案されたコンソーシアムに企業と研究者が参加するインセンティブを提供する可能性があるということです。なぜなら今のところ、民間部門が独自の解決策を打ち出すようなインセンティブがあるとは思えないからです。
重要な情報
新しい攻撃である ArcaneDoor は、境界に設置されている複数のベンダーのネットワークデバイスを標的にした、国家支援の攻撃者による最新の攻撃事例です。Talos と Cisco PSIRT は最近、Talos では UAT4356 として、Microsoft 社の脅威インテリジェンスセンターでは STORM-1849 として追跡している、これまで知られていなかった攻撃者を特定しました。攻撃者が使用した特注ツールは明らかにスパイ活動に重点を置いたものであり、標的のデバイスについての深い知識を持っていることがうかがえます。これは国家支援の高度な攻撃者の特徴です。UAT4356 は、攻撃のコンポーネントとして「Line Runner」と「Line Dancer」という 2 つのバックドアを展開し、この両方を用いて、設定変更、偵察、ネットワークトラフィックのキャプチャと流出、場合によってはラテラルムーブメントなど、悪意のあるアクションを狙いどおりに実行しました。
注意すべき理由
これらのデバイスに足がかりを得ることで、攻撃者は組織に直接侵入して、トラフィックの再ルーティングや変更を行い、ネットワーク通信を監視できるようになります。過去 2 年間で、これらのデバイスへの攻撃が通信事業者やエネルギーセクターの組織などの分野で大幅に増加し続けていることを Talos は確認しています。重要インフラの事業体には多くの外国政府が関心を持ち、戦略的な標的になっている可能性があります。ネットワークにデータが出入りする重要な経路であるこれらのデバイスには、定期的かつ速やかにパッチを適用する必要があります。ハードウェアとソフトウェアの最新のバージョンと設定を用いるようにし、セキュリティの観点から注意深く監視しなければなりません。
必要な対策
既知の IOC(侵入の痕跡)がいくつかあるので、攻撃の標的になっている可能性が疑われる場合は検索することができます。まず、ArcaneDoor を取り上げたブログの最後に記載している IOC リストにある IP アドレスへの ASA デバイスからの送受信フローがないか調べる必要があります。もしあれば、さらなる調査が必要になります。また、初動対応者向け Cisco ASA フォレンジック調査手順に詳述されている手順も参考になります。これらの手順に従う際、lina メモリ領域の出力に基づいてデバイスが侵害されていると判断される場合は、コアダンプの収集やデバイスの再起動は「決して」試みないでください。Talos では、アクセスの試行などネットワーク上のアクティビティを検出するために、いくつかの Snort シグネチャもリリースしています。Snort シグネチャ 63139、62949、45575 は、インプラントまたは関連する動作を検出するためにリリースされました。
今週のセキュリティ関連のトップニュース
以前から知られている Windows 印刷スプーラーのバグがいまだに活発に悪用されていると Microsoft 社が報告。同社の脅威調査チームは最近、ロシア政府が支援する有名な攻撃グループ APT28 がこの脆弱性を悪用し、これまで知られていなかった「GooseEgg」というマルウェアを配布していることを明らかにしました。Microsoft 社は 2022 年 10 月に CVE-2022-38028 を公開し、パッチをリリースしましたが、APT28 は 2020 年にはすでにこの脆弱性を悪用していた可能性があります。この攻撃者のエクスプロイトは、印刷スプーラー内の JavaScript 制約ファイルを変更し、システムレベルの権限でそれを実行するというものでした。新たな調査結果を受け、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は、CVE-2022-38028 を「悪用が確認された脆弱性カタログ(KEV)」に追加しました。GooseEgg がインストールされると、システムレベルの権限で他のアプリケーションのロードが可能になり、攻撃者は、標的のデバイス上でリモートでコードを実行したり、他のバックドアを展開したりできるようになります。2021 年 7 月には、印刷スプーラーの別の脆弱性である PrintNightmare が話題になりましたが、その時点では脆弱性の活発な悪用は報告されませんでした。(情報源:SC Magazine、Security Week)
Scattered Spider グループのメンバーがロシアの国家支援攻撃グループと提携して行っているランサムウェア攻撃の実態が新たな調査で明らかに。Scattered Spider の構成メンバーは若く、米国、英国、カナダを拠点としています。メンバーは主に英語を話し、昨年複数のカジノやホテルの営業を妨害した MGM カジノに対する攻撃など、いくつかの有名なランサムウェア攻撃に関与したと考えられています。同グループはソーシャルエンジニアリングを得意としており、ごく最近では LinkedIn を利用して従業員情報を盗み、それを用いて企業ネットワークに侵入しています。メンバーの中には 10 代の若者もいて、ダーク Web や Discord のようなオンラインフォーラムでつながり、西洋文明に関する高度な知識を駆使して、ロシアの攻撃者に重要な情報を提供しています。『60 Minutes』の調査には、The Community(別名「The Comm」)の最新情報も含まれていました。これは自分たちが最近行ったサイバー犯罪を自慢するのが好きなハッカーで構成されるオンライン上の集団で、Telegram をよく用いています。(情報源:CBS News)
政府による監視を拡大する FISA 再承認法案を米国政府が可決、監視活動で民間企業が政府と連携。物議を醸している外国情報監視法(FISA)は、失効からわずか数時間後に再承認されました。米国政府および米国議会の推進派は、FISA 第 702 条で認められている権限はテロやサイバー攻撃の拡大を防ぐのに役立っており、権限が失効すれば政府の重要な情報を収集する能力が損なわれると主張しました。一方プライバシー擁護派は、FISA は行き過ぎであり、消費者をスパイする可能性のある民間企業にあまりにも大きな権限を与えていると述べています。法案には「電子通信サービスプロバイダー」の新しい定義も含まれており、米国政府は必要があれば、大手テック企業や通信事業者に、ユーザーのデータを強制的に提供させることができます。(情報源:NBC News、TechCrunch)
Talos が発信している情報
- 『Talos Takes』エピソード#180:サイドローディングとサードパーティ アプリケーションの有効化にはどのような危険性があるのか
- CoralRaider の関与が疑われる 3 つの情報窃取マルウェアを使用した攻撃の被害が拡大中
- ブルートフォース攻撃が世界的に急増、Cisco Talos が警告
- シスコが VPN へのパスワードスプレー攻撃の急増を警告
- ウクライナのネットワークで珍しいコンピュータウイルスを検出、機密文書が漏洩した可能性
Talos が参加予定のイベント
CARO ワークショップ 2024(5 月 1 ~ 3 日)
バージニア州アーリントン
比較的最近出現した YoroTrooper による攻撃が、過去 1 年間に大幅に増加していることが確認されています。この攻撃グループは遅くとも 2022 年以降、独立国家共同体(CIS)に対して、スパイ活動を中心に攻撃を仕掛けています。CARO 2024 における Asheer Malhotra のプレゼンテーションでは、YoroTrooper によるさまざまな攻撃の概要を説明します。YoroTrooper が採用しているコモディティ型マルウェアとカスタムマルウェア、YoroTrooper について発見したこと、戦術の進化について詳しく解説する予定です。また、過去 2 年間に CIS の政府機関の要人を標的にした攻撃で、YoroTrooper が侵入に成功した際のタイムラインを紹介します。
RSA(5 月 6 ~ 9 日)
カリフォルニア州サンフランシスコ
Cisco Live(6 月 2 ~ 6 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
いくつかの技術的な問題に対処するため、このセクションは一時的に休止します。
本稿は 2024 年 04 月 25 日にTalos Group のブログに投稿された「The private sector probably isn’t coming to save the NVD」の抄訳です。