ハートブリードの脆弱性ネットワーク内部のリスク

2014年5月2日
Oliver Tavakoli
Chief Technology Officer
ハートブリードの脆弱性ネットワーク内部のリスク

Heartbleedの世界的な影響について多くのことが語られてきた。まず、私たちはHeartbleedに関するあらゆる説明を目にした。その後、公共のウェブサイトではパスワードを変更する必要があるという警告が表示された。続いて、Heartbleedを悪用することで証明書の秘密鍵が取得できるため、今すぐパスワードを変更し、ウェブサイトが証明書を変更するのを待ってから、再度パスワードを変更すべきだという警告が出された。

これまであまり注目されてこなかったのは、私たちのインフラ内にある一般的な企業向け製品(ルーター、ファイアウォール、ウェブプロキシなど)の多くもHeartbleedの影響を受けやすいという事実です。CiscoJuniper Networks、Blue Coatの各社から発表された箇条書きによると、これらの製品では、Heartbleedバグの存在するソフトウェアであるOpenSSLが広く使用されている。シーメンスのような企業の産業用制御システムにもこの脆弱性があり、Arik Hesseldahlが最近Re/code.netに書いた。そして、一般公開されているウェブサイトとは異なり、その多くはすでにバグを修正するためのアップデートが行われている。すべてのインフラ・システムに対するパッチの利用可能性と展開は、予期しない形であなたを襲う。

Heartbleedバグの仕組み
Heartbleedバグの仕組み xkcd

内部ネットワークにおけるHeartbleed脆弱性の評価

まず始めに、ルーターやファイアウォール、その他のインフラシステムの管理に使用されているIPアドレスが、VPNアクセスなしでインターネットからアクセス可能な場合(セキュリティ上好ましくない行為と考えられている)、非常に懸念すべきであり、今までに直接アクセスを削除するか、システムにパッチを適用しておく必要がある。管理IPアドレスがネットワーク内部からしかアクセスできないと仮定すると、最悪のシナリオは次のようになります:

  1. 攻撃者は、malware 、あるいは別の形の攻撃によってネットワークに侵入する;
  2. 攻撃者は偵察を行い、インフラシステムの管理インタフェースを見つける;
  3. 攻撃者はこれらのインフラシステムにHeartbleedが存在することを利用し、システムのメモリーを読み、システムへのログインに最近使用された管理者認証情報や、場合によっては接続を保護する証明書の秘密鍵までも取得する。
  4. 攻撃者は盗んだ認証情報を使ってログインし、システムを再設定する。また、ローカルアカウントの認証情報だけでない場合は、無関係なリソースにアクセスする。

段階的なHeartbleed脆弱性リスク評価

ステップ1:妥協の仮定

組織は常にmalware 、違反を犯している

ステップ2:脅威検知ソリューションの導入

標的型攻撃の偵察段階で実行されるスキャンを検知 、セキュリティ・ソリューションを導入していることを望みます。もしそうでないのであれば、私たちはあなたが評価し、導入できるようなソリューションを用意しています。

ステップ3:内部Heartbleedエクスプロイトからの保護

攻撃者があなたのネットワーク内に侵入し、Heartbleedを使ってあなたのインフラ・システムにアクセスすることは、明らかに非常に心配なことです。ネットワーク内部でそのような攻撃を探すことができるセキュリティ・ソリューションがあれば最高です。もしそうでないのであれば、私たちは喜んでそれを提供し、評価・導入していただくつもりです。)最近の報道では、秘密鍵の盗難に焦点が当てられているが、企業ネットワークでは秘密鍵の紛失はそれほど脅威ではないことが判明している。

秘密鍵を使うには、攻撃者は同じシステムへの他の接続を盗聴するか、そのシステムになりすます必要がある。イーサネットが真に共有メディアであった非常に古い時代のハブでは、ネットワーク・インターフェース・カードを「プロミスキャス」モードにするだけで、他のマシンのトラフィックを盗聴することができた。しかしスイッチでは、ブロードキャスト、マルチキャスト、または自分のマシン宛てのトラフィックしか見ることができない。

古典的ななりすましの方法はARPトリックで、攻撃者のホストがいるサブネット上でしか機能しない。システムの管理インターフェイスが別のサブネット上にある場合、多くの場合、別のVLAN上でさえも、ARPによるなりすましは機能しない。したがって、攻撃者はシステムの秘密鍵にアクセスすることはできても、秘密鍵が利用可能であることを悪用することは、見た目ほど単純ではない。これは、Heartbleedの問題とは対照的で、一般のウェブサイトは、トラフィックが上流で盗聴されることはないと考えることはできないし、DNSのトリックが出回っているため、誰かがうまくなりすますことができないと考えることもできない。

ステップ4:認証情報とIDセキュリティを管理する

ここからが本当の不安である。ベスト・セキュリティ・プラクティスに従い、インフラ・システムの管理者認証を標準的なID管理(Active Directoryなど)インフラに統合していた場合、盗まれた認証情報はおそらく王国の鍵になるだろう。盗まれた認証情報は、システムそのものや、システム管理者がアクセスできるほとんどすべてのものにアクセスするために使われる可能性がある。

内部ネットワークにおけるHeartbleed攻撃対象の特定

すべてのルーター、スイッチ、ファイアウォールにパッチを当てても、より重要なインフラと同じ認証統合を持つ、目立たない場所にあるプリンターにパッチを当てるのを忘れてしまう。

Heartbleedを攻撃者の武器の1つとして利用し、重要なアカウントの認証情報を取得し、その認証情報を使って王冠の宝石を狙う標的型攻撃が現れるのは時間の問題であり、実際にはすでに起きていることだろう。

言い換えれば、ハートブリードは外側と同様に内側も厄介なのだ。

よくあるご質問(FAQ)

Heartbleed(CVE-2014-0160)とは?

HeartbleedはOpenSSLライブラリのセキュリティ・バグで、攻撃者はサーバーのメモリから機密データを読み取ることができる。

社内システムのHeartbleedにパッチを当てるには、どのような手順を踏むべきか?

Heartbleedのパッチを適用するために、組織はOpenSSLライブラリをバグを修正した最新バージョンに更新する必要がある。さらに、SSL/TLS証明書を失効させて再発行し、漏洩した認証情報が使用されていないことを確認するために、必要に応じてパスワードをリセットする必要がある。

攻撃者は内部ネットワークでどのようにHeartbleedを悪用するのか?

攻撃者はHeartbleedを悪用し、脆弱性のあるサーバーに細工したリクエストを送り、そのサーバーがメモリ上の機密データで応答する。これには、ユーザー名、パスワード、秘密鍵、その他の機密情報が含まれる。

Heartbleedのリスクを軽減するために、セキュリティ・ソリューションはどのように役立つのか?

侵入検知システム(IDS)、ファイアウォール、脆弱性管理ツールなどのセキュリティ・ソリューションは、検知 、Heartbleedエクスプロイトをブロックするのに役立ちます。これらのソリューションの定期的な更新とパッチは、既知の脆弱性から保護するために不可欠です。

Heartbleedを悪用した最近の事件はありますか?

Heartbleedは2014年に最も顕著であったが、システムにパッチが適用されていない場合、時折インシデントが発生する。セキュリティ勧告やインシデントレポートを定期的に監視することは、最近の悪用について情報を得るのに役立ちます。

企業はどのようにしてネットワーク内のHeartbleedの脆弱性を検知 。

組織は、脆弱性スキャナーや、システムにHeartbleedバグが存在するかどうかをチェックするように設計されたツールを使用することによって、検知 Heartbleedの脆弱性をチェックすることができます。定期的な監査や自動化されたセキュリティ評価も効果的です。

社内システムでHeartbleedに対応しないリスクとは?

Heartbleedへの対処を怠ると、内部システムはデータ漏洩、不正アクセス、機密情報の損失の可能性にさらされます。これは、財務上の損失、風評被害、コンプライアンス上の問題につながる可能性があります。

どのようなインフラがHeartbleedの危険に最もさらされているのか?

OpenSSLの脆弱なバージョンを使用しているサーバーやデバイスが最も危険にさらされています。これには、ウェブサーバ、電子メールサーバ、および影響を受けるOpenSSLのバージョンを使用するネットワークデバイスが含まれます。

Heartbleedのリスクを軽減するために、セキュリティ・ソリューションはどのように役立つのか?

長期的な影響としては、定期的なセキュリティ更新の必要性に対する認識が高まり、セキュリティ対策が改善されることが挙げられる。また、組織は、より厳格な管理体制とより厳格な脆弱性管理プログラムを導入するかもしれない。

内部ネットワークにおけるHeartbleedの悪用を防ぐベストプラクティスとは?

ベストプラクティスには、OpenSSLを常に更新すること、脆弱性を定期的にスキャンすること、強力なアクセス制御を導入すること、セキュリティ衛生についてスタッフを教育することなどが含まれる。定期的なセキュリティ監査とインシデントレスポンス 計画も重要です。