CVE-2022-3602およびCVE-2022-3768
2022年11月1日、前週に本番を予告していたOpenSSLは、OpenSSL 3.0.0から3.0.6に対する2つのリスクを説明するアドバイザリをリリースした。これは当初、2015年以来のクリティカル・レベルの警告として予告されていましたが、OpenSSLが「緩和要因」と説明しているため、これは「高」に格下げされました。
この 2 つの脆弱性は、X509 証明書の Email Address フィールドのバッファオーバーフローに基づくものです。電子メール・アドレスを特別に細工することで、攻撃者はオーバーフローし、ターゲット・システムのスタック上の4バイトを制御することができます CVE-2022-3602。あるいは、電子メール・アドレスを特定の文字でパディングすることで、攻撃者はバッファをオーバーフローし、システムをクラッシュさせることができます CVE-2022-3768。これらの2つの脆弱性は、単独では、あらゆる場所を一度に壊してしまうように見えるかもしれませんが、これらの緩和要因は非常に重要です。
最初の緩和要因は、これら2つの脆弱性は、クライアント、あるいは標的とされるサーバーから、あるレベルのインタラクションを必要とすることである。どちらの脆弱性でも、OpenSSL3.0 を実行しているクライアントは、悪意のある x509 証明書をホストしている悪意のあるサーバにアクセスしなければならない。このようなことは日常業務ではあり得ないことではありませんが、それでも侵害を受けるためには、リンクをクリックしたり文書を開いたりするユーザーが必要です。これはよくあることですが、OpenSSLの脆弱性を使ってリモート・コード実行を実行するよりも簡単な方法があります。
サーバー側から見ると、標的にされたサーバーは、悪意のあるクライアントからクライアント認証証明書を要求しなければならない。これは、インターネットに面したサーバーでは通常の設定ではなく、オンプレミス・デバイスで使用される可能性が高い。この時点で、ネットワークを標的にするには、悪意のある第三者が近くにいる必要がある。
これらの脆弱性のもう一つの大きな緩和要因は、使用されている証明書が信頼できる認証局(CA)によって署名されている必要があること、あるいは、これらのオーバーフローを引き起こすためには、信頼できるCAへのパスを確立できないままアプリケーションを続行する必要があることである。よりオープンな署名局を使う方法もあるかもしれないが、これらのプロバイダーは、悪意のある可能性のある電子メールアドレス・フィールドを見つけるために、証明書署名リクエストを監査している可能性が高い。
また、OpenSSL3.0を実行しているシステムの数もそれほど多くはない。その数は確かにゼロではないが、それを踏まえて考えると、Windows以外の主要なサーバーOSであるRHELとUbuntuの2つは、今年になってようやくOpenSSL3.0をプラットフォームに組み込んだばかりだ。RHEL 9は2022年5月にリリースされ、Ubuntu 22.04は2022年8月にリリースされた。つまり、多くのシステム管理者はこれらのブランチにアップグレードする機会がなかったかもしれないし、これらは最新の LTS バージョンに過ぎないので、アップグレードする必要はないかもしれない。しかし、これらのバージョンはDockerコンテナやその他のコンテナ化されたアプリケーションのビルドに使用されている可能性があることに注意すべきである。
最後に、OpenSSLはこれらの脆弱性が野放しで悪用されていることを発見していないため、攻撃キャンペーンが活発に行われているような帯域外のパッチとは異なります。にもかかわらず、OpenSSL3.0.0-3.0.6を実行しているシステムには、3.0.7までパッチを当てることが推奨されています。
Vectra しかし、インフラやクライアントを標的とするすべての脆弱性と同様に、脆弱性は、進行中の侵害における最初の感染ベクターに過ぎません。クライアントやサーバーが上記の手法で侵害された場合、インプラントやトロイの木馬が展開される可能性が高い。このような場合、顧客は以下のような検知を期待できる:
- 隠しDNSトンネル
- 隠しHTTPトンネル
- 隠しHTTPSトンネル
- 外部リモートアクセス
- Vectra 脅威インテリジェンスMatch
- マルチホーム前面トンネル
これらは、悪意のあるツールやインプラントC2振る舞い 、それを展開するために使用された脆弱性に関係なくカバーされる。
これは継続的なキャンペーンの一環であるため、横方向への動きも予想される。その場合、Vectra 、以下のテクニックをカバーする:
- 不審なリモート実行
- 特権の異常:異常なサービス
- 特権異常:ホスト上の異常なアカウント
- 疑わしいリモートデスクトップ
- 特権の異常:異常なサービス - Insider
- 特権異常:異常なトリオ、特権異常:異常なホスト
- 特権異常:ホストからの異常なサービス
- 不審な管理者
使用するツールに関係なく、これらの検知は、攻撃者がお客様の環境内で最終的な目的を達成するために侵害後に使用する行動をカバーするように設計されています。