Vid 2つの注目を集めたセキュリティ脆弱性、すなわちWindows証明書偽装バグとCitrix VPNゲートウェイの脆弱性を悪用した、簡単に利用できるエクスプロイトがオンラインで登場しました。今のところ対策を講じていない方は、大変な事態に陥るでしょう。
IT管理者は概念実証のエクスプロイトコードを使用して自社システムのセキュリティを確認できますが、悪意のある攻撃者は、Citrixの場合はリモートシステムを乗っ取るために、Windowsの場合はマルウェアを正規のアプリに偽装したり、暗号化されたWebトラフィックを傍受したりするために、これらのコードを使用する可能性があります。Windowsの脆弱性に対するパッチはMicrosoftから提供されており、できるだけ早く適用する必要があります。
Citrixの場合、完全なパッチは1月20日まで提供されません。その間、公式の緩和策では、すべての悪用方法を阻止するには不十分なケースもあります。インターネット上には、潜在的に脆弱なボックスが12万台以上存在すると推定されています。
窓が割れた
NSA が貴重なバグ発見の詳細を公表してから数時間以内に、脆弱性攻撃の作成者は、パッチを適用していない Windows コンピューターに偽のデジタル証明書を受け入れさせるためにこの欠陥を悪用する方法を示す実用的なコードを投稿しました。デジタル証明書は、ソフトウェアの正当性を検証し、Web 接続を暗号化するために使用されます。
CVE-2020-0601 という脆弱性は、Windows 10 および Server 2016、2019 の crypt32.dll ライブラリに存在します。ちなみに、このバグは、攻撃者が提供した証明書を、内部データ構造に保持されているキャッシュされた信頼できる証明書と照合する際に発生します。これは暗号や数学的な弱点ではなく、攻撃者の証明書が誤ってチェックされるという論理的な欠陥です。
2020 年代へようこそ: 罠が仕掛けられた Office ファイル、NSA が Windows 証明書スプーフィングのバグを暴露、RDP の欠陥...
続きを読む
誰でも入手可能な概念実証コードサンプルは、わずか50行程度のPythonで書かれた小さなパッケージです。このエクスプロイトは簡単に実行できますが、スイスのセキュリティ企業Kudelskiの作者であるYolan Romailler氏は、CVE-2020-0601のネットワークトラフィック盗聴機能についてパニックになる必要はないと述べています。スヌープはユーザーの接続を傍受できる必要があるからです。
「結局のところ、このような脆弱性はスクリプトキディやランサムウェアに悪用される危険性がないということを覚えておいてください」とロマイラー氏はバグの詳細な記事の中で述べている。
「これは、どのウェブサイトに対しても中間者攻撃を許す可能性があるため、依然として大きな問題ではあるが、運営しているネットワークを所有する敵と対峙する必要がある。これは国家レベルの敵であれば可能だが、スクリプトキディであれば可能性は低い。」
「おそらくこれが、NSAが発見を武器にせず、むしろ公開することに決めた理由でもある。攻撃対象領域が広大であるため、NSAにとっては、それを保持して米国に対して使用されるリスクを負うよりも、米国にパッチを適用するのが最善だと考えられたのだ。」
このバグの核心部分については、ロマイラー氏は次のように要約している。
一方、情報セキュリティ企業のTrail of Bitsは、この脆弱性を「Whose Curve Is It Anyway?」と名付け、ロゴとウェブサイトを公開しました。ウェブサイトには、昨今の慣例に倣い、概念実証攻撃を掲載しています。同社はこの脆弱性について、簡潔に次のようにまとめています。
より詳しい技術情報はこちらをご覧ください。また、署名付きと署名なしの7z.exeファイルを例にした、別の概念実証エクスプロイトもこちらでご覧いただけます。
騙された
先週のニュースを席巻したもう一つの重大なセキュリティバグに関しては、事態は一筋縄ではいきません。Citrix VPNゲートウェイのバグCVE-2019-19781(情報セキュリティコミュニティではShitrixと呼ばれています)は、現在も悪用されています。さらに悪いことに、Citrixは、古いファームウェアを使用している一部の環境では、推奨されている緩和策がエクスプロイト攻撃に有効ではないことを認めています。Citrix ADCリリース12.1の51.16/51.19および50.31より前のビルドをご利用の場合は、バージョンをアップグレードすることをお勧めします。
さらに良いのは、ソフトウェアを悪用しようとする試みを検知できるようにネットワーク監視を設定することです。SANS ISCによるセキュリティ上の問題に関するビデオは以下をご覧ください。
YouTubeビデオ
オランダ国立サイバーセキュリティセンターからの警告では、Citrix ADC および Gateway ボックスを実行している組織に対して、Citrix からの本格的なパッチが 1 月 20 日にリリースされるまで、マシンを完全にオフにすることを検討するようアドバイスしています。
「Citrix ADCおよびGatewayサーバーの停止による影響が許容できない場合は、不正利用の可能性を注意深く監視することをお勧めします」と、アラートの翻訳には記載されています。「リスクを制限する最終手段として、特定のIPアドレスのホワイトリスト化やIPブロックを検討することもできます。」
エクスプロイトについては、ここで概念実証サンプルを 1 つ見つけることができます。®
