セキュリティ脆弱性へのパッチ適用は、本来は簡単なプロセスであるべきです。ベンダーが既知の欠陥に対するパッチを公開し、影響を受けるすべての組織がそのパッチを適用します。しかし、理論上は簡単なように思えても、現実には必ずしもそうとは限りません。セキュリティ企業Rezilionが8月8日(月)に発表したレポートでは、ベンダーがパッチを適用した古い脆弱性が、依然として組織にリスクをもたらしている実態が検証されています。
脅威の状況は10年間の既知の脆弱性に及んでいる
Rezilionは、報告書「ビンテージ脆弱性は今も流行中」の中で、CISA(サイバーセキュリティ・インフラセキュリティ庁)が管理する既知の悪用脆弱性カタログ(図A)を調査しました。リストに掲載されている790件のセキュリティ欠陥のうち、400件以上が2020年以前に遡るものです。そのうち104件は2019年、70件は2018年、73件は2017年に遡ります。さらに、2010年まで遡る脆弱性も17件あります。
図A
2010 年から 2020 年にかけて発見された脆弱性は、インターネットに接続された 450 万以上のシステムとデバイスに影響を及ぼします。
過去の脆弱性に対する効果的なパッチ管理が不十分だと、企業は攻撃にさらされる可能性がある
これらの「ビンテージ脆弱性」に対する修正プログラムは何年も前から提供されているものの、その多くは顧客や組織によって未修正のままです。そのため、依然として自由に悪用される可能性があり、アップデートされていないソフトウェアやデバイスにリスクをもたらします。実際、Rezilionは過去30日間で、これらのセキュリティ脆弱性のほとんどに対して、アクティブなスキャンと悪用の試みを検出しました。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
この問題は、セキュリティ脆弱性のライフサイクルに起因しています。製品に存在するセキュリティ上の欠陥は、パッチがまだ存在しないため、誰も気づいていないにもかかわらず、潜在的に悪用される可能性があります。サイバー犯罪者がその欠陥に気付いた場合、ゼロデイ脆弱性として分類されます。ベンダーがパッチを発行して展開した後も、その脆弱性は依然として悪用される可能性がありますが、それはパッチがまだ適用されていない環境に限られます。
しかし、ITチームとセキュリティチームは、ベンダーから提供される利用可能なパッチを把握し、どのパッチを優先すべきかを判断し、それらのパッチをテストしてインストールするためのシステムを導入する必要があります。体系的かつ効果的なパッチ管理方法がなければ、このプロセス全体がどこかの時点で簡単に行き詰まる可能性があります。巧妙なサイバー犯罪者はこれらすべてを理解しているため、ベンダーが既に修正済みの脆弱性を悪用し続けているのです。
よく悪用されるビンテージの脆弱性
以下は、Rezilion によって発見された数多くの古いセキュリティ上の欠陥の一部です。
CVE-2012-1823
PHP CGIリモートコード実行は、PHPクエリ文字列にコマンドラインオプションを含めることでリモート攻撃者がコードを実行できる検証脆弱性です。この脆弱性は実際に悪用されていることが知られており、10年前から存在していました。
CVE-2014-0160
OpenSSL のプロセスメモリからの機密情報漏洩脆弱性(HeartBleed)は、トランスポート層セキュリティ(TLS)の Heartbeat 拡張機能に影響を及ぼします。OpenSSL 1.0.1 から 1.0.1f では、このバグにより、サーバーからクライアントへ、あるいはクライアントからサーバーへメモリ内容が漏洩する可能性があります。これにより、インターネット上の誰でも、脆弱なバージョンの OpenSSL ソフトウェアを使用してその内容を読み取ることができます。この脆弱性は実際に悪用され、2014 年 4 月に公開されました。
CVE-2015-1635
Microsoft HTTP.sys リモートコード実行脆弱性は、Microsoft インターネット インフォメーション サービス (IIS) の HTTP プロトコル処理モジュール (HTTP.sys) に存在する脆弱性で、攻撃者が脆弱な Windows システムに特殊な HTTP リクエストを送信することで、リモートからコードを実行できる可能性があります。この脆弱性は実際に悪用されており、7 年以上前から確認されています。
CVE-2018-13379
Fortinet FortiOSおよびFortiProxyは、FortiProxy SSL VPNウェブポータルに存在する脆弱性で、リモート攻撃者が特殊なHTTPリソースリクエストを介してFortiProxyシステムファイルをダウンロードできる可能性があります。この脆弱性は既に悪用されており、4年以上前から存在しています。
CVE-2018-7600
Drupal のリモートコード実行脆弱性(Drupalgeddon2)は、複数の異なるバージョンの Drupal に影響を及ぼすリモートコード実行の脆弱性です。この脆弱性は、攻撃者が Drupal を実行しているサーバーに悪意のあるコードを強制的に実行させ、インストール環境を侵害する可能性があります。この脆弱性は既に悪用されており、4年以上前から確認されています。
セキュリティ脆弱性パッチの管理に関するヒント
組織がセキュリティの脆弱性のパッチ適用をより適切に管理できるように、Rezilion はいくつかのアドバイスを提供しています。
攻撃対象領域に注意する
関連するCVEを通じて既存の攻撃対象領域を把握し、パッチ適用が必要な環境内の脆弱な資産を特定できることを確認してください。そのためには、ソフトウェア部品表(SBOM)が必要です。これは、使用するアプリケーションに含まれるすべてのオープンソースおよびサードパーティ製コンポーネントのインベントリです。
適切なサポートプロセスでパッチ管理をバックアップする
効果的なパッチ管理戦略をサポートするには、変更管理、テスト、品質保証など、潜在的な互換性の問題に対処できる特定のプロセスを導入する必要があります。
脆弱性とパッチ管理の取り組みが拡張可能であることを確認する
パッチ管理プロセスを導入したら、それを容易に拡張できる必要があります。つまり、新たな脆弱性が発見されるたびに、パッチ適用の取り組みを拡大していく必要があります。
最も重大な脆弱性を優先する
発見されたセキュリティ上の欠陥の数が膨大であることを考えると、すべてにパッチを当てることは不可能です。最も重要なパッチに重点的に適用しましょう。CVSSなどの指標だけで優先順位を付けるだけでは不十分な場合があります。リスクベースのアプローチを採用し、リスクの高い脆弱性を特定し、軽微なバグよりも優先させることが重要です。そのためには、CISAの既知の悪用脆弱性カタログやその他の脅威情報源を参照し、実際に悪用されている脆弱性を調査しましょう。そして、自社の環境に実際に存在する脆弱性を特定しましょう。
パッチ管理戦略を継続的に監視および評価する
環境を監視し、脆弱性が修正され、パッチが適用されていることを確認してください。Rezilion は、既にパッチが適用されている脆弱なコードが CI/CD(継続的インテグレーションおよび継続的デプロイメント)プロセスによって本番環境に再追加された事例を発見しました。
