RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する

内部におけるハートブリード

2014年5月2日
オリバー・タバコリ
Chief Technology Officer,Vectra AI
内部におけるハートブリード

Heartbleedの世界的な影響について多くのことが語られてきた。まず、私たちはHeartbleedに関するあらゆる説明を目にした。その後、公共のウェブサイトではパスワードを変更する必要があるという警告が表示された。続いて、Heartbleedを悪用することで証明書の秘密鍵が取得できるため、今すぐパスワードを変更し、ウェブサイトが証明書を変更するのを待ってから、再度パスワードを変更すべきだという警告が出された。

これまであまり注目されてこなかったのは、私たちのインフラ内にある一般的な企業向け製品(ルーター、ファイアウォール、ウェブプロキシなど)の多くもHeartbleedの影響を受けやすいという事実です。CiscoJuniper Networks、Blue Coatの各社から発表された箇条書きによると、これらの製品では、Heartbleedバグの存在するソフトウェアであるOpenSSLが広く使用されている。シーメンスのような企業の産業用制御システムにもこの脆弱性があり、Arik Hesseldahlが最近Re/code.netに書いた。そして、一般公開されているウェブサイトとは異なり、その多くはすでにバグを修正するためのアップデートが行われている。すべてのインフラ・システムに対するパッチの利用可能性と展開は、予期しない形であなたを襲う。

ネットワーク内部のHeartbleedについて、どの程度懸念すべきか?

まず始めに、ルーターやファイアウォール、その他のインフラシステムの管理に使用されているIPアドレスが、VPNアクセスなしでインターネットからアクセス可能な場合(セキュリティ上好ましくない行為と考えられている)、非常に懸念すべきであり、今までに直接アクセスを削除するか、システムにパッチを適用しておく必要がある。管理IPアドレスがネットワーク内部からしかアクセスできないと仮定すると、最悪のシナリオは次のようになります:

  1. 攻撃者はマルウェアやその他の攻撃手段でネットワークに侵入する;
  2. 攻撃者は偵察を行い、インフラシステムの管理インタフェースを見つける;
  3. 攻撃者はこれらのインフラシステムにHeartbleedが存在することを利用し、システムのメモリーを読み、システムへのログインに最近使用された管理者認証情報や、場合によっては接続を保護する証明書の秘密鍵までも取得する。
  4. 攻撃者は盗んだ認証情報を使ってログインし、システムを再設定する。また、ローカルアカウントの認証情報だけでない場合は、無関係なリソースにアクセスする。

潜在的なリスクを段階的に評価しよう。

ステップ1: このような事態が起こりうることを受け入れる。組織は常にマルウェアの侵入を受けているのだから、これまでも、あるいはこれからも起こりうると考えるべきだ。

ステップ2:標的型攻撃の偵察段階で実行されるスキャンを検知するセキュリティソリューションを導入していることを期待します。そうでない場合は、当社が評価し、導入することができます。

ステップ3:攻撃者がネットワーク内に侵入し、Heartbleedを使用してインフラ・システムにアクセスすることは、明らかに非常に心配なことです。ネットワーク内部でそのような攻撃を探すことができるセキュリティソリューションがあれば最高です。もしそうでないのであれば、私たちは喜んでそれを提供し、評価・導入していただくつもりです。)最近の報道では秘密鍵の盗難に焦点が当てられているが、企業ネットワークでは秘密鍵の紛失はそれほど脅威ではないことが判明している。

秘密鍵を使うには、攻撃者は同じシステムへの他の接続を盗聴するか、そのシステムになりすます必要がある。イーサネットが真に共有メディアであった非常に古い時代のハブでは、ネットワーク・インターフェース・カードを「プロミスキャス」モードにするだけで、他のマシンのトラフィックを盗聴することができた。しかしスイッチでは、ブロードキャスト、マルチキャスト、または自分のマシン宛てのトラフィックしか見ることができない。

古典的ななりすましの方法はARPトリックで、攻撃者のホストがいるサブネット上でしか機能しない。システムの管理インターフェイスが別のサブネット上にある場合、多くの場合、別のVLAN上でさえも、ARPによるなりすましは機能しない。したがって、攻撃者はシステムの秘密鍵にアクセスすることはできても、秘密鍵が利用可能であることを悪用することは、見た目ほど単純ではない。これは、Heartbleedの問題とは対照的で、一般のウェブサイトは、トラフィックが上流で盗聴されることはないと考えることはできないし、DNSのトリックが出回っているため、誰かがうまくなりすますことができないと考えることもできない。

ステップ4:ここからが本当の不安である。ベスト・セキュリティ・プラクティスに従い、インフラ・システムの管理者認証を標準的なID管理(Active Directoryなど)インフラに統合していた場合、盗まれた認証情報はおそらく王国の鍵になるだろう。盗まれた認証情報は、システムそのものや、システム管理者がアクセスできるほとんどすべてのものにアクセスするために使われる可能性がある。

Heartbleed の内部アタックサーフェスの範囲を判断するのが難しい場合があります。

すべてのルーター、スイッチ、ファイアウォールにパッチを当てても、より重要なインフラと同じ認証統合を持つ、目立たない場所にあるプリンターにパッチを当てるのを忘れてしまう。

Heartbleedを攻撃者の武器の1つとして利用し、重要なアカウントの認証情報を取得し、その認証情報を使って王冠の宝石を狙う標的型攻撃が現れるのは時間の問題であり、実際にはすでに起きていることだろう。

言い換えれば、ハートブリードは外側と同様に内側も厄介なのだ。