カテゴリー

Uncategorized

脆弱性とパッチのPoCエクスプロイトを公開しても大丈夫ですか?

  1. HOME >
  2. Uncategorized >

脆弱性とパッチのPoCエクスプロイトを公開しても大丈夫ですか?

Microsoft ExchangeのをきっかけにProxyLogonゼロデイとF5 BIG-IPのセキュリティ悪用今年初め、多くの場合は疑問とされている研究者が脆弱性と関連したパッチの概念実証を公開する必要があるとき。

PoCエクスプロイトの公開

Hafniumハッカーは、3つのMS Exchangeの脆弱性を特定することができました。その中には、巧妙に細工されたWebリクエストを送信して管理者アクセスを取得できるサーバー側のリクエスト偽造を実行できる1つ(ProxyLogon)が含まれます。Volexityは2021年1月初旬にこのエクスプロイトを特定し、Microsoftは3月2日にセキュリティアップデートをリリースしました。セキュリティ研究者は、米国の30,000を含む、世界中の100,000を超えるサーバーが最初に影響を受けたと考えていました。

3月9日、ほとんどのサーバーがセキュリティ更新プログラムによって保護されていない状態で、研究者がGithubでのハッキングの概念実証(PoC)を公開しました。これは、Microsoftがその後プルし、その結果、多くの批判に直面しました。(今日、Githubでこのための数十のPoCを見つけることができます。)

パッチが適用された脆弱性に対するPoCエクスプロイトの公開は一般的な方法ですが、これには、脅威の攻撃者がPoCエクスプロイトを使用してまだ保護されていない数千のサーバーを攻撃するリスクが高まります。実際、3月9日にDearCryランサムウェア攻撃、3月12日にLemon_Duckクリプトマイニング攻撃、3月19日にBlack Kingdomランサムウェア攻撃が発生しました。実際、3月末までに、推定25,000台のサーバーが依然として脆弱であり、10台が高度化しています。ハッキンググループはすでにMicrosoftExchangeサーバーを悪用しており、パッチのPoCが公開された後に4つが出現しました。

ProxyLogonのPoCを公開することのコスト/メリットを評価する際に、考慮する必要があると思われるいくつかの要因を以下に示します。一方では、PoCエクスプロイトを公開することで、研究者は攻撃を理解し、より優れた保護を構築できます。また、言論の自由の概念も大切にしています。しかし一方で、完全に機能するPoCスクリプトを使用しているのは誰だと思いますか?明らかに、ハッキンググループとスクリプトキディがその中で最も重要です。

PoCが公開されたとき、グローバルコミュニティにとってどのようなリスクがありましたか?パッチがリリースされてPoCが公開されてから1週間後、脆弱なグローバルサーバーの半分はまだ保護されていませんでした。推定100,000の感染を引き起こしたハッキン​​グは、ラドウェア脅威アラートによって、世界中のすべての業界にとって「重大」であると説明されました。明らかに、公開されたPoCのタイミングが世界的な大混乱に影響を及ぼしました。

次に、研究者がパッチをリバースエンジニアリングして公開した例を見てみましょう。3月10日、F5は、攻撃者が脆弱なシステムを完全に制御できるようにする、BIGIPおよびBIGIQエンタープライズネットワークインフラストラクチャの認証されていないリモートコマンド実行の欠陥を修正したと発表しました。そこから、ネットワーク内の実質的にどこにでも移動できます。F5は、リスクを軽減するために、詳細を公開しなかったため、顧客はシステムを更新してパッチを適用する時間ができました。問題は、その後、数人の研究者がJavaパッチをリバースエンジニアリングし、3月15日までに詳細なブログとPoCを公開したことでした。

3日以内に、世界中のF5ネットワークデバイスを攻撃する脅威アクターのいくつかのグループで、その脆弱性の大量スキャン活動が見られました。National Vulnerability Databaseは、これらの脆弱性を重大なものとしてランク付けしました。問題に加えて、多くの組織が依然としてMicrosoftのProxyLogonの問題に焦点を合わせていたため、F5の脆弱性の問題への対応が遅かったという事実がありました。

マルウェアをリバースエンジニアリングし、特定の攻撃を検出する方法をコミュニティに通知し、システムをより効果的に保護するために使用されている戦術を説明することは1つのことです。侵入の痕跡(IoC)を共有し、マルウェアサンプルを特定するためのYARAルールを構築する必要があります。NmapスクリプトとRegExは、組織が脆弱なシステムなどを持っているかどうかを発見するのに役立ちます。しかし、マルウェアを配布するためにPoCスクリプトを使用する攻撃者と比較して、PoCスクリプトを適切な目的で使用する個人の数に疑問があります。

研究者がこれらのスクリプトを作成したいと思う理由は理解できますが、公開するときは、パンドラの箱を開けています。本当に必要なのは侵入の痕跡だけです。脅威の攻撃者が攻撃を再現できるようにする実用的なプログラムを公開する必要はありません。

この場合のPoCスクリプトの公開は、安全なシステムの支援や言論の自由の祝福ではなく、セキュリティコミュニティ内での自慢の権利に関するものではないでしょうか。国民国家と高度な脅威アクターがパッチをリバースエンジニアリングして独自に悪用する機能を持っていることは事実ですが、研究者が経験の浅い人を有効にして、すべての脅威アクターの仕事を容易にする必要があるという意味ではありません。

要約すると、マルウェアの逆転に賛成し、実際に発見された攻撃の詳細な説明を提供し、IoC、Yaraルール、Nmapスクリプト、正規表現、動作パターンなどの便利なツールを公開します。ただし、リバースエンジニアリングされたパッチに関する詳細を公開する際には線を引いてください。完全に機能するエクスプロイトスクリプトの作成、フォーク、および改善。パッチを完全に実装する前に、完全に機能するPoCスクリプト(脅威アクターを含む)を世界に引き渡します。

-Uncategorized