エクスプロイト&脆弱性
2020年も脆弱性に注意:「CVE-2019-19781」と「CVE-2020-0601」
2020年はまだ半月が過ぎただけですが、この短い期間に2つの脆弱性に注目が集まっています。1つは「CVE-2019-19781」、もう1つは「CVE-2020-0601」です。本記事執筆時点では「ゼロデイ」の状態です。既知の脆弱性を放置すれば、遅かれ早かれ攻撃の被害を受けることになります。
先日の記事でもまとめたように、最近のサイバー犯罪では、フィッシング詐欺など利用者をだます手口が攻撃の中心となっているように見えます。ただしそれと同時に、攻撃に利用可能な脆弱性が存在する場合、サイバー犯罪者は躊躇なく脆弱性を利用した攻撃を行うこともわかっています。2020年はまだ半月が過ぎただけですが、この短い期間に2つの脆弱性に注目が集まっています。1つは「CVE-2019-19781」、もう1つは「CVE-2020-0601」です。
■CVE-2019-19781
CVE-2019-19781は「Citrix Application Delivery Controller(ADC)」と「Citrix Gateway」の脆弱性であり、一般に「Remote Code Execution(RCE)」と呼ばれる影響のある脆弱性です。サイバー犯罪者はこの脆弱性を利用して遠隔から任意のコードを実行することが可能になる、つまり、ネットワーク越しの遠隔攻撃が可能になります。2019年12月に公開された脆弱性ですが、2020年に入り攻撃の実証コード(PoC)が公開され危険度が高まっていることで注目されています。脆弱性の影響を受ける2つの製品はSSL Gatewayの機能を持っているため、この脆弱性を悪用した攻撃のシナリオとしては、内部ネットワークへの侵入を試みる攻撃シナリオが予想されます。類似のものとしては2019年に確認された複数のSSL VPN製品の脆弱性の事例がありました。 更新プログラムは1月20日以降順次公開されることが発表されており、本記事執筆時点では「ゼロデイ」の状態です。サイバー犯罪者は既知の脆弱性を利用して攻撃可能なシステムをインターネット上で探索し、攻撃します。何等の緩和策をとらずに脆弱性を放置すれば、遅かれ早かれ攻撃の被害を受けることになります。これらの製品を利用されている法人利用者はCitrix社が公表している緩和策を行うと共に、更新プログラムが公開された場合には速やかに適用することが推奨されます。運用上の理由などにより、すぐに更新プログラムを適用できない場合には、必ず緩和策を行うと共に、脆弱性を利用した攻撃を防御するための対策を有効にする必要があります。
■CVE-2020-0601
「Curveball」とも呼ばれているこのMicrosoft Windowsの脆弱性は、米国の国家安全保障局(NSA)が警告したことで注目を浴びました。内容としてはWindowsの暗号化機能である「CryptoAPI(crypt32.dll)」における脆弱性であり、特定の状況において、攻撃者が認証プロセスをバイパスすることを可能にします。攻撃者はこの脆弱性を利用して「なりすまし」、つまり、不正なファイルや電子メール、ネットワーク接続を正当な当事者により署名されているもののようにみせることが可能になります。結果的にマルウェアを正規のプログラムのように思わせたり、暗号化通信の傍受や改ざんを行ったりできます。Windows 10およびWindows Server 2016/2019にのみ影響する脆弱性であり、Microsoftの「2020年1月のセキュリティ更新プログラム」にて既に修正が公開されていますので、適用を推奨します。このセキュリティ更新プログラムは1月15日にサポートが切れたWindows7の最後の更新プログラムとしても注目されていますが、Internet Explorerや、.NET Framework、リモートデスクトップ機能などのRCE脆弱性など「最大深刻度」が「緊急」とされる修正も含まれており、速やかな更新が望まれます。
■被害に遭わないためには
脆弱性を利用する攻撃は、攻撃対象の脆弱性が存在しない環境では無効です。脆弱性の更新プログラムを迅速に適用することで根本的な解決が可能となります。もし、使用上の都合などですぐには更新プログラムを適用できない場合には、必ずソフトウェア開発元などが推奨する脆弱性の影響緩和策を実施してください。
■トレンドマイクロの対策
ネットワーク脅威防御ソリューション「TippingPoint」では、以下のMainlineDV filterにより本記事内で挙げた脆弱性を利用する攻撃を検出します。 CVE-2019-19781
- 36876: HTTP: Citrix Application Delivery Controller (ADC) Directory Traversal Vulnerability
- 36927: HTTP: Citrix Application Delivery Controller (ADC) Directory Traversal Vulnerability
CVE-2020-0601
- 36956: HTTP: Microsoft Windows CryptoAPI Spoofing Vulnerability
法人向け総合エンドポイントセキュリティ「Trend Micro Apex One™」、総合サーバセキュリティ「Trend Micro™ Deep Security™ 」では以下の DPIルールにより本記事内で挙げた脆弱性を利用する攻撃を検出します。 CVE-2020-0601
- 36956: 1010130 - Microsoft Windows CryptoAPI Spoofing Vulnerability (CVE-2020-0601)
総合サーバセキュリティ「Trend Micro™ Deep Security™ 」では総合ログ監視機能の以下のルールにより、CVE-2020-0601脆弱性利用の活動を記録します。
- 1010129 - Microsoft Windows CryptoAPI Spoofing Vulnerability (CVE-2020-0601)