新しい脆弱性がCVEで開示されると攻撃準備として15分以内にスキャンされ数時間以内に実際の悪用が試みられる

一般的に情報セキュリティの脆弱(ぜいじゃく)性が公開される際には、内容識別のために全世界共通の番号「CVE ID」が各脆弱性ごとに割り当てられます。こうして公開された脆弱性について、ハッカーは少なくとも15分以内にスキャンを行い、パッチ未適用のエンドポイントを探し出していることが調査により明らかになりました。

2022 Unit 42 Incident Response Report: How Attackers Exploit Zero-Days
https://unit42.paloaltonetworks.com/incident-response-report/

Hackers scan for vulnerabilities within 15 minutes of disclosure
https://www.bleepingcomputer.com/news/security/hackers-scan-for-vulnerabilities-within-15-minutes-of-disclosure/

サイバーセキュリティを展開するPalo Altoによると、ハッカーは常にソフトウェアベンダーの掲示板を監視し、企業ネットワークへの初期アクセスやリモートコード実行に利用できる新しい脆弱性の発表を探し求めているとのこと。

攻撃者は通常、CVEが発表されてから15分以内に脆弱性のスキャンを開始します。スキャンは特に難しいものではないため、スキルの低い攻撃者でもインターネット上で脆弱性のあるエンドポイントをスキャンでき、より能力の高いハッカーがダークウェブ市場でスキャン結果を販売するとのこと。そして数時間のうちに悪用が試みられ、多くの場合、パッチを適用する機会がなかったシステムを攻撃すると報告されています。

攻撃者が脆弱性のスキャンを開始するスピードが速いため、システム管理者は脆弱性が悪用される前にバグを修正する必要に迫られることになります。

Palo Altoが例としてあげたCVE-2022-1388の場合、2022年5月4日に公開されたあと、10時間足らずで2552件のスキャンと悪用の試みが確認されたとのこと。

Palo Altoが収集したデータによると、2022年上半期に最も悪用されたネットワークアクセスの脆弱性は「ProxyShell」のエクスプロイトチェーンで、記録された悪用インシデント全体の55%を占めています。ProxyShellは、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207として追跡されている3つの脆弱性を連鎖させて悪用する攻撃です。

さらにLog4Shellが14％で2位に続き、SonicWallの各種CVEが7％、ProxyLogonが5％、Zoho ManageEngine ADSelfService PlusのRCEが悪用されたケースは3％でした。

Palo Altoは「この統計から明らかなように、悪用される欠陥は最新のものでなく、半永久的に存在するものが大部分を占めています」と指摘。しかし、管理者がセキュリティアップデートを迅速に適用した、より価値のある、より保護されたシステムは、ゼロデイや脆弱性の公開直後に狙われる傾向にあるとのこと。

脆弱性公開からパッチ適用までの時間が早いか、攻撃までの時間が早いかは「防御側と悪意ある行為者側の間の競争」とPalo Altoは指摘。さらに攻撃者がフィッシングや内部関係者の手助けでネットワークへ侵入しているとし、「管理者は可能な限りデバイスをインターネットに接続せず、VPNや他のセキュリティ・ゲートウェイを経由してのみデバイスを公開することが非常に重要です。可能な限り迅速にアップデートを適用する必要があります」と述べました。