エクスプロイト&脆弱性
Microsoft Exchange ServerおよびVMware製品で重大な脆弱性が公表
Microsoft Exchange Server および VMware ESXi、VMware vCenter Serverにて緊急度の高い脆弱性が複数公表されています。また、一部脆弱性では既に攻撃での悪用が確認されています。既に修正プログラムが提供されていますので、該当の製品をご使用の方は、早急に対策を行うことを推奨いたします。
Microsoft Exchange Server および VMware ESXi、VMware vCenter Serverにて緊急度の高い脆弱性が複数公表されています。また、一部脆弱性では既に攻撃での悪用が確認されています。既に修正プログラムが提供されていますので、該当の製品をご使用の方は、早急に対策を行うことを推奨いたします。
1. Microsoft Exchange Serverの複数の脆弱性
現地時間2021年3月2日、マイクロソフトからMicrosoft Exchange Serverにおける複数の脆弱性に関する情報が公開されました。本脆弱性が悪用された場合、悪意の攻撃者はSYSTEM権限で任意のコードが実行できる可能性があります。また、既に攻撃での悪用も確認されています。トレンドマイクロがShodan※を確認したところ、2021/3/16時点でこれらの脆弱性を悪用する攻撃に対して脆弱な公開サーバが約87,000台存在していることを確認しています。(2021/3/17更新)
脆弱性の詳細および対象となるソフトウェアについては以下のマイクロソフト社の情報を参照ください。
※Shodan:インターネットに接続されたデバイスを対象とする検索サービス
● 脆弱性情報
● 推奨される対策
既に修正プログラムが公開されていますので、早急な適用を推奨します。
(2021/3/10追記)マイクロソフトは日本時間3月7日、すぐに修正プログラムが適用できないお客様向けに緩和策の詳細を解説するブログを公開しました。もし運用上の事情などにより直ちに適用できない場合には当該緩和策の適用を検討してください。
- マイクロソフト社:Exchange Server の脆弱性の緩和策
● 本脆弱性を悪用した攻撃を既に確認
Microsoft Threat Intelligence Center (MSTIC)は現地時間2021年3月2日、これらの脆弱性が標的型攻撃における一連の手口の中で実際に悪用されていることを発表しました。MSTICは今回観測した攻撃について「HAFNIUM」と呼ばれる国家支援型の攻撃者グループが関与していると分析しています。
この標的型攻撃では初期侵入の手段として本脆弱性を悪用しており、本脆弱性からオンプレミスのExchangeサーバへ不正アクセスした上でWebシェルを展開し、データ侵害および更なる攻撃の拡大を行ったと解説しています。
実際にトレンドマイクロでも過去にWebシェルを使った標的型攻撃の中で、今回とは異なるMicrosoft Exchange Serverの脆弱性が悪用された事例を確認しており、本脆弱性でも同様の手口による攻撃が引き続き発生する可能性があります。なお、トレンドマイクロで確認した本事例については後日当ブログにて日本語の解説記事を公開予定です。
● 侵入の痕跡(IoC)を確認する
MSTIC では、Exchangeのログなどから「HAFNIUM」による本脆弱性を悪用する標的型攻撃の侵入の痕跡を確認する方法を紹介しています。こちらを参照してください。
2. VMware ESXi、VMware vCenter Serverの脆弱性
現地時間2021年2月23日、VMware社から複数製品の脆弱性に関する情報が公開されています。脆弱性が悪用された場合、悪意の攻撃者はSYSTEM権限で任意のコードが実行したり、遠隔から任意のファイルをアップロードしたりできる可能性があります。こちらは既に攻撃実証コード(PoC)が公開されており、この脆弱性を持つシステムを探索する通信も報告されています。
● 脆弱性情報
以下のVMware社の情報を参照ください
- VMware社:VMSA-2021-0002
トレンドマイクロでは、当ブログにて今回公表された脆弱性の一つである「CVE-2021-21974」の詳細および悪用可能性を技術的な観点から解説しています。
■ 推奨される対策
既に修正プログラムが公開されていますので、早急な適用を推奨します。もし運用上の事情などにより直ちに適用できない場合には別の回避策を検討してください。
■ 被害に遭わないためには
脆弱性を利用する攻撃は対象の脆弱性をアップデートすることで回避可能です。ご利用のソフトウェアに関してはアップデートを欠かさず、常に最新のバージョンを利用してください。攻撃者は以前の脆弱性についてアップデートを行っていない環境を探し出し、攻撃します。業務上の都合などにより速やかにアップデートが行えない場合には、脆弱性を含む機能の停止や攻撃を防ぐ技術的対策など、その他の回避策を怠らないことが重要です。
■ トレンドマイクロでの対策
トレンドマイクロ製品では脆弱性を利用する遠隔攻撃の対策として、仮想パッチが用意されています。この仮想パッチは、公式のベンダーパッチの適用前に、脆弱性からデバイスを保護する追加のセキュリティレイヤーを提供します。仮想パッチとは名前からわかるように、第三者が対象の脆弱性を悪用しようとした場合に、環境を保護するものです。仮想パッチは、各企業に適した方法でパッチの適用を可能にする、重要なセーフティネットになる場合があります。
今回の脆弱性に対する当社各製品の対策状況は次の通りです。
- Microsoft Exchange Serverの複数の脆弱性
Trend Micro Deep Securityには3月3日時点で、TippingPointには3月4日時点で当該脆弱性に対する仮想パッチが適用されています。詳細は以下をご覧ください。
- Exchange Serverの脆弱性(CVE-2021-26855等)に対するトレンドマイクロのソリューション(2021/3/17追加)
- Trend Micro Deep Security
- Trend Micro TippingPoint
3月2日時点で、Trend Micro Deep SecurityおよびTippingPointに当該脆弱性に対する仮想パッチが適用されています。詳細は以下をご覧ください。