12/6(月)は、SOC アナリスト 今吉敏和の記事です。SOC におけるセキュリティ関連のトピック調査について紹介します。 

---

はじめに

前回のアドベントカレンダーの「2019年のセキュリティトピックの振り返り」という記事で、SOCで調査したソフトウェアの脆弱性やマルウェアキャンペーンの解説記事を毎月お客様向けレポートに掲載していることを紹介いたしました。本記事では、2021年に報告された脆弱性をピックアップして、これらを悪用した不正な通信のSOCでの観測傾向を振り返りたいと思います。

SOCの観測状況

VMware vCenterの脆弱性(CVE-2021-21972)について

2021年2月23日にVMware社のVMware vCenterでリモート攻撃実行可能な脆弱性についての情報が公開されました[i]。この脆弱性が悪用されると、リモートから認証されていないユーザーによる任意のファイルアップロードや、SYSTEM権限での任意コードが実行される可能性があります。

SOCでは本脆弱性の調査と思われるファイルのアップロードを試みる通信を2月26日頃から観測しており、5月をピークに検知件数は徐々に減少の傾向が見られ、11月以降はあまり観測されなくなりました。


BIG-IP製品の脆弱性 iControl RESTインタフェース(CVE-2021-22986)について

2021年3月10日にF5 Networks社からBIG-IP製品に対する複数の脆弱性が公開されました 。その中でも「iControl RESTインタフェース」の脆弱性(CVE-2021-22986)が悪用されると、リモートから認証されていない第三者によって任意のコードが実行される可能性があります。本脆弱性を狙った不正な通信を3月19日頃から確認しており、現在も引き続き観測されています。


Microsoft Exchange ServerのProxyLogonの脆弱性について

2021年3月2日にMicrosoftはExchange Serverの脆弱性に対するセキュリティ更新プログラムを定例外で公開しました 。この更新プログラムはProxyLogonと呼ばれる深刻な脆弱性を含む7件について対応するものです。この脆弱性が悪用された場合リモートより認証されていない第三者によりサーバーが侵害され、メールのデータ窃取、組織内への横展開、情報漏洩などの恐れがあります。
SOCではこのProxyLogonと呼ばれる脆弱性(CVE-2021-26855)を狙った不正な通信を3月10日頃から観測しております。8月に入り、後述のProxyShellの脆弱性が報告されると本脆弱性を狙った不正な通信の検知数も増加し、現在も引き続き観測されております。


Pulse Connect Secureの脆弱性(CVE-2021-22893)について

2021年4月20日、VPN製品であるPulse Connect Secureに関する脆弱性CVE-2021-22893が公開されました 。本脆弱性はリモートから認証を回避し、任意のコードが実行される可能性のある脆弱性です。本脆弱性を悪用してWebShellの設置等の被害を受けた事象も報告されております 。SOCでは本脆弱性の調査通信を5月10日頃から現在も引き続き観測されております。


Microsoft Exchange Serverの脆弱性を利用した攻撃(ProxyShell)について

2021年8月5日のBlackhat USAで、DEVCORE社のリサーチャーがMicrosoft Exchange Serverへの攻撃について発表しました 。この攻撃はProxyShellと名付けられており、3つの脆弱性を連鎖的に使用することで、認証されていない攻撃者がMicrosoft Exchange Server上に任意のファイルを設置できます。これにより例えばWebshellを設置することで、攻撃者は任意のコマンドが実行できるようになります。8月6日時点で本脆弱性の悪用事例が報告されております 。SOCではこれら3つの脆弱性のうち、CVE-2021-34473を狙った不正な通信を8月10日頃から徐々に観測し始め、9月頃から攻撃の本格化の傾向の兆しを観測したため、Twitterにて注意喚起を行いました。


Atlassian Confluenceの脆弱性(CVE-2021-26084)について

2021年8月25日にAtlassian社のConfluence ServerおよびConfluence Data Centerでリモート攻撃実行可能な脆弱性についての情報が公開されました 。この脆弱性が悪用されると、リモートから認証されていないユーザーによる任意のコードが実行される可能性があります。SOCでは9月1日頃から本脆弱性を狙った不正な通信を観測しておりますが、9月22日にピークを迎えて以降はあまり観測されなくなりました。


Apache HTTP Serverのパストラバーサル脆弱性(CVE-2021-41773およびCVE-2021-42013)について

2021年10月1日、Apacheソフトウェア財団はCVE-2021-41773に関する情報を公表しました 。本脆弱性を悪用されると対象のサーバー上で非公開のディレクトリやファイルにアクセスすることが可能となります。発見当時、この脆弱性は最新版であったApache HTTP Server 2.4.49のみに存在し、それ以前のバージョンには存在しませんでした。
SOCでは本脆弱性に使用されるようなトラバーサル通信は報告以前よりも定常的に検知されてはいましたが、この脆弱性の概念実証コード(PoC)が2021年10月5日に公開されて以後、このようなトラバーサル通信が増加し、現在も引き続き観測されております。
Apacheソフトウェア財団はこの脆弱性に対して、10月4日にセキュリティリリースを行い、Apache HTTP Server 2.4.50がリリースされましたが、修正内容は不完全なものであり、再びパストラバーサル脆弱性(CVE-2021-42013)が発見されました。再度の脆弱性の報告を受け、Apacheソフトウェア財団は再びセキュリティリリースを行いました。Apache HTTP Server 2.4.50に対しても有効なトラバーサル通信を2021年10月8日頃から観測されております。


おわりに

今回とりあげた脆弱性以外にもさまざまな脆弱性が日々報告されております。観測傾向としても、突発的に増えるもの、長い期間続くもの、一旦落ち着いくものなど、規模感含め様々であり、一概に脆弱性が出ればこうなるのだ、ということはできません。しかしながら、変わらないポイントがあるとすれば、このようなセキュリティの脅威に対して、使用しているOSやソフトウェアの脆弱性に対し、速やかに セキュリティ対策製品や対象システムの設定の見直しによる軽減策や、根本的な対処として修正プログラムを適用することが被害を防止・軽減をする上で重要であるということです。セキュリティの脅威に対する対策を十分に実施し、今年も残りわずかとなりますが、よいお年をお過ごしください。

  1. “VMware, "VMSA-2021-0002", https://www.vmware.com/security/advisories/VMSA-2021-0002.html
  2. F5 Networks, "K02566623: Overview of F5 vulnerabilities (March 2021)", https://support.f5.com/csp/article/K02566623
  3. Microsoft, "On-Premises Exchange Server Vulnerabilities Resource Center – updated March 25, 2021", https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
  4. Pulse Secure, "SA44784 - 2021-04: Out-of-Cycle Advisory: Multiple Vulnerabilities Resolved in Pulse Connect Secure 9.1R11.4", https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784
  5. FireEye, "Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day", https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
  6. Black Hat USA, "ProxyLogon is Just the Tip of the Iceberg A New Attack Surface on Microsoft Exchange Server!", https://i.blackhat.com/USA21/Wednesday-Handouts/us-21-ProxyLogon-Is-Just-The-Tip-Of-The-Iceberg-A-New-Attack-Surface-On-Microsoft-Exchange-Server.pdf
  7. Tenable, "ProxyShell: Attackers Actively Scanning for Vulnerable Microsoft Exchange Servers (CVE-2021-34473)", https://www.tenable.com/blog/proxyshell-attackers-actively-scanning-for-vulnerable-microsoft-exchange-servers-cve-2021-34473
  8. Atlassian, "Confluence Security Advisory - 2021-08-25", https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
  9. "Apache HTTP Server 2.4 vulnerabilities" https://httpd.apache.org/security/vulnerabilities_24.html