新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

2022年に最も悪用された脆弱性を明らかに

2023/08/04

7 分で読了

サイバーセキュリティー・インフラセキュリティー庁(CISA )は、2022年を通じて最も悪用された脆弱性に焦点を当てた報告書を発表しました。インターネットの多くの部分でリバーシブルプロキシとしての役割を担うCloudflareは、CISAが言及した一般的な脆弱性や暴露(CVE)がインターネット上でどのように悪用されているかを観察できるユニークな立場にあります。

私たちが学んだことの一部を共有したいと思います。

当社が分析したところによると、CISAの報告書で言及されている2つのCVE(Log4J、Atlassian Confluenceのコードインジェクション)が、観測された攻撃トラフィックの大部分を占めています。CISA/CSAは同報告書の中で、その他の脆弱性についても論じていますが、当社のデータは、上位2つとそれ以外のリストとの間に、悪用された量に大きな差があることを明確に示唆しています。

2022年の上位CVE

WAF管理ルールが検出したCISAの報告書に記載のある特定のCVEに対するリクエストの量を観測し、その脆弱性を蔓延している順にランク付けしました:

人気ランク

説明

CVEs

1. 不適切な入力検証で、ログ出力ライブラリ「Apache Log4j」でリモートコードが実行される

Log4J

CVE-2021-44228

2. Atlassian社のConfluence ServerとData Centerにリモートコード実行の脆弱性

Atlassian Confluenceのコードインジェクション

CVE-2022-26134

3. ProxyShellとして知られているもので、3つの脆弱性を組み合わせることでリモートコードを実行

Microsoft Exchangeサーバー

CVE-2021-34473, CVE-2021-31207, CVE-2021-34523

4. 非公開のリクエストがiControl REST認証をバイパスする可能性があります

BIG-IP F5

CVE-2022-1388

5. 2つの脆弱性を組み合わせることでリモートからのroot権限を実現

VMware

CVE-2022-22954

CVE-2022-22960

6. Confluence ServerとData Centerにリモートコード実行の脆弱性

Atlassian Confluenceのゼロデイ脆弱性

CVE-2021-26084

1位のLog4J(CVE-2021-44228)は当然の結果とも言えますが、ここ数十年でLog4jは最も衝撃的な脆弱性の1つであり、リモートからの完全な侵害につながる可能性が高いものです。最も悪用された脆弱性第2位は、Atlassian社のConfluenceのコードインジェクション(CVE-2022-26134)です。

3位は、Microsoft Exchangeサーバを標的とした3つのCVE(CVE-2021-34473CVE-2021-31207CVE-2021-34523)の組み合わせが位置しています。4位は、BIG-IP F5の悪用(CVE-2022-1388)で、次いで2つのVMwareの脆弱性の組み合わせ(CVE-2022-22954CVE-2022-22960)が続きます。このリストの最後は、もう一つのAtlassian社のConfluenceのゼロデイ脆弱性(CVE-2021-26084)です。

これら5つのグループの攻撃量を比較すると、ある脆弱性が際立っていることにすぐに気づくことができます。Log4Jは、2位(Atlassian社のConfluenceコードインジェクション)と比較して桁違いに悪用されており、残りのすべてのCVEはさらに低いものになっています。CISA/CSAは報告書の中でこれらの脆弱性を同列に扱っていますが、実際には圧倒的なCVE(Log4J)と、それに匹敵するゼロデイ脆弱性の副次的なグループの2つのグループに分けられると私たちは考えています。この2つにグループ化することで、それぞれ同じような攻撃量になります。

下の対数スケールのグラフを見ることで、人気の違いがよくわかります。

Cloudflareネットワーク全体でブロックされたCVE別のリクエスト数。これらのブロックは、Cloudflareユーザーを保護するために作成された管理ルールによってトリガーされます

CVE-2021-44228: Log4J

リストの最初は、Log4jの脆弱性としてしられる悪名高いCVE-2021-44228です。この欠陥は2021年にサイバー界に大きな混乱を引き起こし、現在も広範囲に悪用されています。

Cloudflareはこの脆弱性が公表されてから数時間以内に新しい管理ルールをリリースしました。また、その後数日間に更新された検出結果をリリースしました(ブログ)。全体として、私たちは3つの段階でルールをリリースしました:

私たちが展開したルールは、4つのカテゴリーで悪用を検出します:

  • Log4jヘッダ:HTTPヘッダー内の攻撃パターン
  • Log4j Body:HTTPボディ内の攻撃パターン
  • Log4j URI:URI内の攻撃パターン
  • Log4j本体の難読化:難読化攻撃パターン

ここから、Log4Jの攻撃はHTTPボディーよりもHTTPヘッダーの方が一般的であることがわかりました。以下のグラフは、この脆弱性に対する悪用の試行を時系列で示すものであり、2023年7月(記事執筆時点)までの明確なピークと伸びを示しています。

過去1年間のLog4jの悪用の試行傾向

この脆弱性の影響の大さを考慮し、より安全で優れたインターネットの実現に向けて進化し牽引するために、2022年3月15日、Cloudflareはすべてのプラン(Freeを含む)に影響の大きい脆弱性に対するWAF管理ルールを適用することを発表しました。これらの無料で提供されるルールは、Log4Jエクスプロイト、Shellshock脆弱性、広範なWordPressエクスプロイトなどの影響力の大きい脆弱性に対処するものです。CloudflareのWAFを利用することで、規模や予算に関係なく、あらゆる企業や個人のWebサイトがデジタル資産を保護することができます。

Apacheソフトウェア財団が発表したLog4Jのセキュリティ勧告に対する全文はこちらから確認することができます

CVE-2022-26134: Atlassian Confluenceコードインジェクション

Atlassian社のConfluenceを苦しめたコードインジェクションの脆弱性が、2022年を通じて最も悪用されたCVEの第2位に位置しています。この悪用はシステム全体に脅威をもたらし、多くの企業が攻撃者によって翻弄されることになりました。これは、組織内でナレッジベースの情報管理システムがいかに重要なものになっているかを示しています。攻撃者は、これらのシステムがいかに重要であるかを理解した上でこれらのシステムを標的にしています。これを受けて、Cloudflare WAFチームはお客様を保護するための2つの緊急リリースを展開しました:

これらのリリースの一環として、2つのルールがすべてのWAFユーザーに提供されました:

  • Atlassian Confluence - コードインジェクション - CVE:CVE-2022-26134
  • Atlassian Confluence - コードインジェクション - 拡張機能 - CVE:CVE-2022-26134

下のグラフは各日の攻撃の受信数を示したもので、明確なピークがありますが、その後、システムのパッチ適用やセキュリティの強化に伴い、徐々に減少していることがわかります。

Log4JとConfluenceコードインジェクションの両方に季節性が見られ、2022年9/11月から 2023年3月までの間により多くの攻撃が行われています。これは、攻撃者が管理するキャンペーンが、未だこの脆弱性を悪用しようとしていることを反映していると考えられます(2023年7月末に進行中のキャンペーンが確認されています)。

過去1年間のCVE-2022-26134の悪用の試行の傾向

セキュリティ勧告(参考用)

CVE-2021-34473、CVE-2021-31207、CVE-2021-34523: Microsoft Exchange SSRFおよびRCE の脆弱性

これまで発覚していなかった3つのバグが連鎖し、リモートコード実行(RCE)のゼロデイ攻撃を可能とするものです。Microsoft Exchangeサーバーが広く採用されているかを考えると、これらの悪用は、あらゆる業界、地域、部門にわたるデータセキュリティやビジネス運用に深刻な脅威をもたらしました。

Cloudflare WAFは、 緊急リリース:2022年3月3日で、Microsoft Exchange SSRFおよび RCEの脆弱性(CVE:CVE-2022-41040、CVE:CVE-2022-41082 )を含むこの脆弱性に対するルールを公開しました。

過去1年間のこれらの攻撃の傾向は以下のグラフで見ることができます。

過去1年間のMicrosoft Exchangeの悪用の試行傾向

セキュリティ勧告(参考用):CVE-2021-34473CVE-2021-31207CVE-2021-34523

CVE-2022-1388:BIG-IP F5のRCE

この特定のセキュリティ脆弱性は、認証されていない攻撃者がこれを悪用してBIG-IPシステム(アプリケーションセキュリティおよび高パフォーマンスソリューションを提供するグループであるF5の製品名)にネットワーク接続される可能性があります。攻撃者は、管理インターフェイスまたは自分で割り当てたIPアドレスを介して、ルート権限でシステムコマンドを実行する可能性があります。

Cloudflareはこの問題を検出するための緊急リリース(緊急リリース:2022年5月5日)で、この脆弱性に対するルールコマンドインジェクション - RCE in BIG-IP - CVE:CVE-2022-1388を公開しました。

2023年6月下旬に発生した急激な上昇を除いて、特定のキャンペーンの兆候はなく、悪用のパターンは比較的横ばい傾向となっています。

過去1年間のBIG-IP F5の悪用の試行傾向
a

F5のセキュリティ勧告(参考用)

CVE-2022-22954:VMware Workspace ONE Access(旧称Identity Manager)のサーバー側のテンプレートインジェクションによるリモートコード実行の脆弱性

この脆弱性を利用すると、攻撃者はリモートからサーバー側のテンプレートインジェクションを引き起こし、リモートでコードが実行される可能性があります。悪用に成功すると、認証されていない攻撃者がネットワーク経由でWebインターフェースにアクセスし、VMwareユーザーとして任意のシェルコマンドを実行できるようになります。後に、この脆弱性はCVE-2022-22960(ローカル特権昇格の脆弱性(LPE)の脆弱性)と組み合わされました。これら2つの脆弱性を組み合わせることで、リモートの攻撃者はroot権限でコマンドを実行できるようになります。

Cloudflare WAFはこの脆弱性に対応したルールリリース:2022年5月5日を公開しました。以下は悪用の時系列を示すグラフです。

過去1年間のVMwareの悪用の試行傾向

VMwareのセキュリティ勧告

CVE-2021-26084: Confluence Server Webwork OGNLインジェクション

Confluenceのサーバー上またはデータセンターインスタンス上で、認証されていない攻撃者による任意のコードの実行を可能にするOGNLインジェクションの脆弱性が発見されました。Cloudflare WAFは、2022年9月9日にこの脆弱性に対する緊急リリースを行いました。本記事で取り上げた他のCVEと比べ、過去1年間で多くの悪用は観測されていません。

過去1年間のConfluence OGNLの悪用の試行傾向

セキュリティ勧告(公式)

保護を強化するための推奨事項

サーバー管理者の皆様には、修正プログラムが公開され次第、常にソフトウェアを常にアップデートすることをお勧めします。Cloudflareのお客様(当社の無料利用枠のお客様を含む )は、管理ルールセットで毎週更新されるCVEやゼロデイ脅威に対処する新しいルールをご利用いただけます。高リスクのCVEについては、緊急リリースが行われることもあります。これに加えて、Enterpriseのお客様は従来のシグネチャベースのルールを補完し、未知の脅威やバイパスの試みを特定するAIを活用した検知機能であるWAF Attack Scoreをご利用いただけます。ルールベースの検知とAIによる検知を組み合わせることで、Cloudflareは既知および新たな脅威に対する堅牢な防御を提供します。

まとめ

Cloudflareのデータは、CISAの脆弱性レポートを補完することができます。注目すべきは、上位2つの脆弱性を悪用しようとする試みが、残りのリストと比べて桁違いに多いことです。組織は、提供されたリストを念頭にソフトウェアのパッチ適用に重点を置く必要があります。もちろん、すべてのソフトウェアにパッチを当てることが重要であり、WAFを適切に実装することで、さらなるセキュリティを確保し、基盤となるシステムが既存の脆弱性だけでなく将来の脆弱性に対してキュリティを確保するための「時間を稼ぐ」ことができます。

Cloudflareは 企業のネットワーク全体 を保護し、お客様が インターネット規模のアプリケーションを効率的に 構築するためのお手伝いをします。また、すべてのWebサイトまたはインターネットアプリケーション を迅速化し、DDoS攻撃を阻止して、 ハッカーを封じ込めます 。 さらに、Zero Trustを始める、あるいは導入のあらゆるフェーズにいる お客様を支援します。

インターネットを高速化し、安全性を高めるには、ご使用のデバイスから 1.1.1.1 にアクセスすることで、Cloudflareの無料アプリをご利用いただけます。

より良いインターネットの構築を支援するというCloudflareの使命について詳しくは、こちら をご覧ください。新たなキャリア形成をお考えの方は、求人情報 にアクセスしてください。
WAF (JP)Security (JP)CISA (JP)Vulnerabilities (JP)日本語

Xでフォロー

Himanshu Anand|@anand_himanshu
Cloudflare|@cloudflare

関連ブログ投稿

2024年1月23日 14:00

CloudflareのAI WAFがIvanti Connect Secureのzero-day脆弱性をプロアクティブに検出した経緯

2024年1月17日にCloudflareが2つの脆弱性に特化した緊急ルールを発表したことで、AIモデルを活用していない顧客は、これらの脅威に対処する上で大きなメリットを得ることができました...

2023年3月14日 13:00

2023年アプリケーションセキュリティの状況

1年前、当社は、初のアプリケーションセキュリティレポートを発行しました。Security Week 2023に向けて、軽減されたトラフィック、ボットおよびAPIトラフィック、そしてアカウント乗っ取り攻撃に関する最新の洞察とトレンドを公開する予定です...

2022年9月27日 14:15

Forrester、CloudflareをWAFリーダーとして選出

ForresterはCloudflareを、2022年第3四半期の『Forrester Wave™:Webアプリケーションファイアウォール』レポートでリーダーとして認定しました。このレポートは、Webアプリケーションファイアウォール (WAF) プロバイダー12社を、現行のサービス、戦略、市場プレゼンスに関する24の基準で評価したものです。 本レポートの無料配布をご希望の方は、こちらをご登録ください。本レポートは、セキュリティおよびリスクの専門家が、それぞれのニーズに合った製品を選択する際の参考となるものです。 今回の成果は、最近のWAFの開発とともに、当社の主力製品の一つであるCloudflare Webアプリケーションファイアウォール (WAF) への取り組みと継続的な投資を強化するものであると考えています。 WAFは、DDoS軽減やCDNサービスとともに、実はCloudflareの設立当初から提供しているサービスであり、このような評価を受ける時として、バースデーウィーク以上にふさわしい時はないと言えるでしょう。 また、この場を借りて、Forrester社に感謝します。 ...