パッチが適用されていないソフトウェアの脆弱性は、発見されてから長い間、サイバー犯罪者にとって魅力的な標的であり続けます。 レガシーの問題は、自然に解消されるわけではありません。 Barracuda による分析は、これがいかに危険であるかを示しています。
特定されたソフトウェアの脆弱性がもはや危険ではないと信じるのは、致命的な誤りである可能性があります。 現時点で自分の IT インフラストラクチャ内でやるべきことがはるかに重要であるため、緊急に必要とされているゲートウェイを閉じるのを待つことを怠慢で考えている人は、大きな間違いを犯しています。 多くのハッカーが頼りにして、パッチが表示されなかった場所を再度確認するのは、まさにこの過失だからです。
ハッカーは新旧の脆弱性を探す
ハッカーは、どこか別の場所にある新しい未知の脆弱性を探すために IT ネットワークから撤退するだけではありません。 脆弱性が発見されてから何年も経っていますが、まだ開いているシステムの数は驚くべきものです。 Barracuda のセキュリティ専門家は最近、過去 XNUMX か月間に Barracuda システムによってブロックされた攻撃に関するデータを分析しました。 彼らは、最近パッチが適用された Microsoft および VMware の脆弱性に対して、何十万もの自動化されたスキャンと攻撃、および毎日何千ものスキャンを発見しました。 以下では、攻撃パターンをより詳細に検討し、どの企業がインフラストラクチャを保護できるかを特定します。
パッチが適用されていないソフトウェアの脆弱性
Microsoft の脆弱性 Hafnium は、2021 年 2021 月に最初に公開されました。 悪用された脆弱性は、CVE-26855-2021、CVE-26857-2021、CVE-26858-2021、および CVE-27065-2021 でした。 CVE-26855-2021 は Exchange のサーバー側リクエスト フォージェリ (SSRF) の脆弱性であり、攻撃者が任意の HTTP リクエストを送信して Exchange サーバーとして認証することを可能にします。 脆弱なシステムを特定するには、CVE-26855-XNUMX を使用することをお勧めします。 残りの脆弱性は、いわゆる Webshell を含む他のエクスプロイトを実行するために、この脆弱性に連鎖しているようです。 Webshell は、任意のコマンドを実行することで Web サーバーのリモート アクセスと制御を可能にする、悪意のある Web ベースのインターフェイスです。
2021 月の初め以降、セキュリティ アナリストは、CVE-26855-XNUMX の調査試行が最初は中程度で、その後大幅に増加していることに気付きました。これは今日まで続いており、調査の試みは一時的に増加した後、より低いレベルに低下しています。
VMware vCenter Server の脆弱性
識別子 CVE-2021-21972 を持つ 6700 番目の重大な脆弱性は、今年初めにインターネット経由でアクセスできる 2021 以上の VMware vCenter サーバーに影響を与えました。 犯罪者は、パッチが適用されていないサーバーを乗っ取り、企業のネットワーク全体に侵入する可能性があります。 Barracuda のアナリストは、CVE-21972-XNUMX を定期的にスキャンし続けています。 響きは減少しましたが、そのままでいる必要はありません。 攻撃者が影響の大きい既知の脆弱性のリストを熟読するにつれて、これらのスキャンが時々再び増加することが予想されます。
これら XNUMX つのイベントは、パッチや緩和策がリリースされた後も、攻撃者がソフトウェアの脆弱性、特に深刻な脆弱性を調査して悪用し続けることを示しています。 ハッカーは、IT チームの時間的リソースが不足していることが多く、絶え間ないパッチ適用に遅れずについていくことが難しくなっていると推測しています。
ハッカーも週末に突入するようです
攻撃パターンは具体的にどのように見えますか? 以前のボットは、攻撃を実行するために XNUMX 日の勤務時間に適応していましたが、現在では、攻撃者と潜在的な被害者の両方にとって、XNUMX 週間の勤務時間は同じです。 これは、自動化された攻撃を実行している場合でも、ほとんどの攻撃者が週末を休んでいるように見えるという奇妙なことを示しています。 ただし、その理由はおそらく、レクリエーションの必要性が高まったというよりは、週末にあまり使用されていないシステムをターゲットにして警報を鳴らすよりも、さまざまな活動中に群衆の中に隠れている方が簡単だからです.
SQL からのコマンド インジェクションおよびコマンド インジェクション攻撃
攻撃は、偵察/ファジング攻撃とアプリケーション脆弱性攻撃の一般的な攻撃タイプにどのように分類されますか (WordPress が最も人気がありました)。 通常、SQL インジェクション攻撃はコマンド インジェクション攻撃よりも優勢であり、その後に他のすべての攻撃タイプが続きます。 ただし、調査期間中、Windows に対してコマンドを挿入する多数の試みを含め、コマンド インジェクションが大幅に主導されました。 これらの攻撃は 1.3 月に 1.2 週間以上ピークに達し、その後通常のレベルに戻りました。 残りの攻撃は多かれ少なかれ予想されたレベルであり、さまざまなカテゴリで特定された特定の攻撃パターンはありませんでした. Lets Encrypt 統合で HTTPS を有効にし、最新のプロトコルを使用するように構成を更新することも不可欠です。 現在最も安全なプロトコルは TLSXNUMX と TLSXNUMX です。 プレーンな HTTP を使用した実装はまだ進行中ですが、興味深いことに、プレーンな HTTP トラフィックは、古くて安全でない SSL/TLS プロトコルよりも大量です。
WAF または WAAP: 確実に正しく構成されている
既知のソフトウェアの脆弱性を悪用することを目的とした攻撃は、その数が多いため、必要なソリューションを探す際に IT チームに課題をもたらすことがよくあります。 これらのソリューションが、Web アプリケーションおよび API 保護サービス (WAAP) とも呼ばれる WAF/WAF-as-a-Service 製品に統合されていることを知っておくとよいでしょう。 Gartner は、WAAP サービスを「クラウド WAF サービスの進化」と定義しています。WAAP サービスだけがクラウドベースのサービスとしての WAF、ボット緩和、DDoS 保護、および API セキュリティの提供を XNUMX つのサブスクリプションで提供する場合 - 組み合わせモデル。
企業は、ボットの緩和、DDoS 保護、API セキュリティ、Credential Stuffing 保護を含む WAF-as-a-Service または WAAP ソリューションを検討し、適切に構成されていることを確認する必要があります。
詳細は Barracuda.com をご覧ください
バラクーダネットワークスについて バラクーダは、世界をより安全な場所にするために努力しており、すべての企業が、購入、展開、使用が簡単なクラウド対応の企業規模のセキュリティ ソリューションにアクセスできる必要があると考えています。 バラクーダは、カスタマー ジャーニーに沿って成長し適応する革新的なソリューションで、電子メール、ネットワーク、データ、およびアプリケーションを保護します。 世界中の 150.000 を超える企業がバラクーダを信頼しており、ビジネスの成長に集中することができます。 詳細については、www.barracuda.com をご覧ください。