新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

2022年に最も悪用された脆弱性を明らかに

2023-08-04

5分で読了
この投稿はEnglish繁體中文FrançaisDeutsch한국어简体中文でも表示されます。

サイバーセキュリティー・インフラセキュリティー庁(CISA )は、2022年を通じて最も悪用された脆弱性に焦点を当てた報告書を発表しました。インターネットの多くの部分でリバーシブルプロキシとしての役割を担うCloudflareは、CISAが言及した一般的な脆弱性や暴露(CVE)がインターネット上でどのように悪用されているかを観察できるユニークな立場にあります。

私たちが学んだことの一部を共有したいと思います。

当社が分析したところによると、CISAの報告書で言及されている2つのCVE(Log4J、Atlassian Confluenceのコードインジェクション)が、観測された攻撃トラフィックの大部分を占めています。CISA/CSAは同報告書の中で、その他の脆弱性についても論じていますが、当社のデータは、上位2つとそれ以外のリストとの間に、悪用された量に大きな差があることを明確に示唆しています。

2022年の上位CVE

WAF管理ルールが検出したCISAの報告書に記載のある特定のCVEに対するリクエストの量を観測し、その脆弱性を蔓延している順にランク付けしました:

人気ランク

Popularity rank

Description

CVEs

1. Improper Input Validation caused Remote Code execution in Apache Log4j logging library

Log4J

CVE-2021-44228

2. Atlassian Confluence Server and Data Center Remote Code Execution Vulnerability

Atlassian Confluence Code Injection

CVE-2022-26134

3. 3 issues were combined together to achieve Remote Code execution also known as ProxyShell

Microsoft Exchange servers

CVE-2021-34473, CVE-2021-31207, CVE-2021-34523

4. undisclosed requests may bypass iControl REST authentication and run arbitrary code

BIG-IP F5

CVE-2022-1388

5. 2 issues were combined to together to achieve remote Root

VMware

CVE-2022-22954

CVE-2022-22960

6. Remote Code execution Issue in Confluence Server and Data Center

Atlassian Confluence 0-day

CVE-2021-26084

説明

CVEs

1. 不適切な入力検証で、ログ出力ライブラリ「Apache Log4j」でリモートコードが実行される

Log4J

Number of requests blocked across the Cloudflare network for each CVE. The blocks are triggered by managed rules created to protect Cloudflare users.

CVE-2021-44228

2. Atlassian社のConfluence ServerとData Centerにリモートコード実行の脆弱性

Atlassian Confluenceのコードインジェクション

CVE-2022-26134

3. ProxyShellとして知られているもので、3つの脆弱性を組み合わせることでリモートコードを実行

Microsoft Exchangeサーバー

CVE-2021-34473, CVE-2021-31207, CVE-2021-34523

Log4j exploit attempt trend over the last year

4. 非公開のリクエストがiControl REST認証をバイパスする可能性があります

BIG-IP F5

CVE-2022-1388

5. 2つの脆弱性を組み合わせることでリモートからのroot権限を実現

VMware

CVE-2022-22954

CVE-2022-22960

6. Confluence ServerとData Centerにリモートコード実行の脆弱性

Atlassian Confluenceのゼロデイ脆弱性

CVE-2022-26134 exploit attempt trend over the last year

CVE-2021-26084

1位のLog4J(CVE-2021-44228)は当然の結果とも言えますが、ここ数十年でLog4jは最も衝撃的な脆弱性の1つであり、リモートからの完全な侵害につながる可能性が高いものです。最も悪用された脆弱性第2位は、Atlassian社のConfluenceのコードインジェクション(CVE-2022-26134)です。

3位は、Microsoft Exchangeサーバを標的とした3つのCVE(CVE-2021-34473CVE-2021-31207CVE-2021-34523)の組み合わせが位置しています。4位は、BIG-IP F5の悪用(CVE-2022-1388)で、次いで2つのVMwareの脆弱性の組み合わせ(CVE-2022-22954CVE-2022-22960)が続きます。このリストの最後は、もう一つのAtlassian社のConfluenceのゼロデイ脆弱性(CVE-2021-26084)です。

これら5つのグループの攻撃量を比較すると、ある脆弱性が際立っていることにすぐに気づくことができます。Log4Jは、2位(Atlassian社のConfluenceコードインジェクション)と比較して桁違いに悪用されており、残りのすべてのCVEはさらに低いものになっています。CISA/CSAは報告書の中でこれらの脆弱性を同列に扱っていますが、実際には圧倒的なCVE(Log4J)と、それに匹敵するゼロデイ脆弱性の副次的なグループの2つのグループに分けられると私たちは考えています。この2つにグループ化することで、それぞれ同じような攻撃量になります。

下の対数スケールのグラフを見ることで、人気の違いがよくわかります。

Microsoft Exchange exploit attempt trend over the last year

CVE-2021-44228: Log4J

リストの最初は、Log4jの脆弱性としてしられる悪名高いCVE-2021-44228です。この欠陥は2021年にサイバー界に大きな混乱を引き起こし、現在も広範囲に悪用されています。

Cloudflareはこの脆弱性が公表されてから数時間以内に新しい管理ルールをリリースしました。また、その後数日間に更新された検出結果をリリースしました(ブログ)。全体として、私たちは3つの段階でルールをリリースしました:

私たちが展開したルールは、4つのカテゴリーで悪用を検出します:

BIG-IP F5 exploit attempt trend over the last year
  • Log4jヘッダ:HTTPヘッダー内の攻撃パターン

  • Log4j Body:HTTPボディ内の攻撃パターン

  • Log4j URI:URI内の攻撃パターン

  • Log4j本体の難読化:難読化攻撃パターン

ここから、Log4Jの攻撃はHTTPボディーよりもHTTPヘッダーの方が一般的であることがわかりました。以下のグラフは、この脆弱性に対する悪用の試行を時系列で示すものであり、2023年7月(記事執筆時点)までの明確なピークと伸びを示しています。

この脆弱性の影響の大さを考慮し、より安全で優れたインターネットの実現に向けて進化し牽引するために、2022年3月15日、Cloudflareはすべてのプラン(Freeを含む)に影響の大きい脆弱性に対するWAF管理ルールを適用することを発表しました。これらの無料で提供されるルールは、Log4Jエクスプロイト、Shellshock脆弱性、広範なWordPressエクスプロイトなどの影響力の大きい脆弱性に対処するものです。CloudflareのWAFを利用することで、規模や予算に関係なく、あらゆる企業や個人のWebサイトがデジタル資産を保護することができます。

Apacheソフトウェア財団が発表したLog4Jのセキュリティ勧告に対する全文はこちらから確認することができます

CVE-2022-26134: Atlassian Confluenceコードインジェクション

VMware exploit attempt trend over the last year

Atlassian社のConfluenceを苦しめたコードインジェクションの脆弱性が、2022年を通じて最も悪用されたCVEの第2位に位置しています。この悪用はシステム全体に脅威をもたらし、多くの企業が攻撃者によって翻弄されることになりました。これは、組織内でナレッジベースの情報管理システムがいかに重要なものになっているかを示しています。攻撃者は、これらのシステムがいかに重要であるかを理解した上でこれらのシステムを標的にしています。これを受けて、Cloudflare WAFチームはお客様を保護するための2つの緊急リリースを展開しました:

これらのリリースの一環として、2つのルールがすべてのWAFユーザーに提供されました:

Confluence OGNL exploit attempt trend over the last year
  • Atlassian Confluence - コードインジェクション - CVE:CVE-2022-26134

  • Atlassian Confluence - コードインジェクション - 拡張機能 - CVE:CVE-2022-26134

下のグラフは各日の攻撃の受信数を示したもので、明確なピークがありますが、その後、システムのパッチ適用やセキュリティの強化に伴い、徐々に減少していることがわかります。

Log4JとConfluenceコードインジェクションの両方に季節性が見られ、2022年9/11月から 2023年3月までの間により多くの攻撃が行われています。これは、攻撃者が管理するキャンペーンが、未だこの脆弱性を悪用しようとしていることを反映していると考えられます(2023年7月末に進行中のキャンペーンが確認されています)。

セキュリティ勧告(参考用)

CVE-2021-34473、CVE-2021-31207、CVE-2021-34523: Microsoft Exchange SSRFおよびRCE の脆弱性

これまで発覚していなかった3つのバグが連鎖し、リモートコード実行(RCE)のゼロデイ攻撃を可能とするものです。Microsoft Exchangeサーバーが広く採用されているかを考えると、これらの悪用は、あらゆる業界、地域、部門にわたるデータセキュリティやビジネス運用に深刻な脅威をもたらしました。

Cloudflare WAFは、 緊急リリース:2022年3月3日で、_Microsoft Exchange SSRFおよび RCEの脆弱性(CVE:CVE-2022-41040、CVE:CVE-2022-41082 )_を含むこの脆弱性に対するルールを公開しました。

過去1年間のこれらの攻撃の傾向は以下のグラフで見ることができます。

セキュリティ勧告(参考用):CVE-2021-34473CVE-2021-31207CVE-2021-34523

CVE-2022-1388:BIG-IP F5のRCE

この特定のセキュリティ脆弱性は、認証されていない攻撃者がこれを悪用してBIG-IPシステム(アプリケーションセキュリティおよび高パフォーマンスソリューションを提供するグループであるF5の製品名)にネットワーク接続される可能性があります。攻撃者は、管理インターフェイスまたは自分で割り当てたIPアドレスを介して、ルート権限でシステムコマンドを実行する可能性があります。

Cloudflareはこの問題を検出するための緊急リリース(緊急リリース:2022年5月5日)で、この脆弱性に対するルール_コマンドインジェクション - RCE in BIG-IP - CVE:CVE-2022-1388_を公開しました。

2023年6月下旬に発生した急激な上昇を除いて、特定のキャンペーンの兆候はなく、悪用のパターンは比較的横ばい傾向となっています。

a

F5のセキュリティ勧告(参考用)

CVE-2022-22954:VMware Workspace ONE Access(旧称Identity Manager)のサーバー側のテンプレートインジェクションによるリモートコード実行の脆弱性

この脆弱性を利用すると、攻撃者はリモートからサーバー側のテンプレートインジェクションを引き起こし、リモートでコードが実行される可能性があります。悪用に成功すると、認証されていない攻撃者がネットワーク経由でWebインターフェースにアクセスし、VMwareユーザーとして任意のシェルコマンドを実行できるようになります。後に、この脆弱性はCVE-2022-22960(ローカル特権昇格の脆弱性(LPE)の脆弱性)と組み合わされました。これら2つの脆弱性を組み合わせることで、リモートの攻撃者はroot権限でコマンドを実行できるようになります。

Cloudflare WAFはこの脆弱性に対応したルールリリース:2022年5月5日を公開しました。以下は悪用の時系列を示すグラフです。

VMwareのセキュリティ勧告

CVE-2021-26084: Confluence Server Webwork OGNLインジェクション

Confluenceのサーバー上またはデータセンターインスタンス上で、認証されていない攻撃者による任意のコードの実行を可能にするOGNLインジェクションの脆弱性が発見されました。Cloudflare WAFは、2022年9月9日にこの脆弱性に対する緊急リリースを行いました。本記事で取り上げた他のCVEと比べ、過去1年間で多くの悪用は観測されていません。

セキュリティ勧告(公式)

保護を強化するための推奨事項

サーバー管理者の皆様には、修正プログラムが公開され次第、常にソフトウェアを常にアップデートすることをお勧めします。Cloudflareのお客様(当社の無料利用枠のお客様を含む )は、管理ルールセットで毎週更新されるCVEやゼロデイ脅威に対処する新しいルールをご利用いただけます。高リスクのCVEについては、緊急リリースが行われることもあります。これに加えて、Enterpriseのお客様は従来のシグネチャベースのルールを補完し、未知の脅威やバイパスの試みを特定するAIを活用した検知機能であるWAF Attack Scoreをご利用いただけます。ルールベースの検知とAIによる検知を組み合わせることで、Cloudflareは既知および新たな脅威に対する堅牢な防御を提供します。

まとめ

Cloudflareのデータは、CISAの脆弱性レポートを補完することができます。注目すべきは、上位2つの脆弱性を悪用しようとする試みが、残りのリストと比べて桁違いに多いことです。組織は、提供されたリストを念頭にソフトウェアのパッチ適用に重点を置く必要があります。もちろん、すべてのソフトウェアにパッチを当てることが重要であり、WAFを適切に実装することで、さらなるセキュリティを確保し、基盤となるシステムが既存の脆弱性だけでなく将来の脆弱性に対してキュリティを確保するための「時間を稼ぐ」ことができます。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
WAFセキュリティCISAVulnerabilities

Xでフォロー

Himanshu Anand|@anand_himanshu
Cloudflare|@cloudflare

関連ブログ投稿

2024年10月08日 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024年10月06日 23:00

Enhance your website's security with Cloudflare’s free security.txt generator

Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard for seamless access. Strengthen your website's security today!...