セキュリティアドバイザリ、テクノロジーニュース記事、または弊社独自のバグレポートを読んだことがある方は、パッチに関するメッセージを絶えず受け取っていることでしょう。インフラを保護するためにはパッチ適用が不可欠であり、今後もこの信念は変わりませんが、敵の動きを遅らせ阻止するには、攻撃者よりもずっと前に脆弱性を「ハッキング」、つまり脆弱性を発見することができなければなりません。これは、Trellix Advanced Research Center内の脆弱性チームの使命です。今回、Ciscoのエッジ デバイスで発見された脆弱性に関する調査結果をリリースしました。これは、エッジ デバイスに関する一連の調査の次の段階であり、消費者、スモールビジネス、そして今回はエンタープライズなど、すべてのレベルのユーザーに影響を与えるバグを発見しました。
なぜ、セキュリティベンダーがエッジデバイスの脆弱性の発見にこれほど多くの時間とリソースを費やしているのでしょうか。簡単に言えば、攻撃者たちはあらゆる方面に注意を向けているからです。セキュリティ業界では、私たちは日常生活を支え、機密情報を保護する大企業にばかり目を向けがちですが、攻撃者の行動から、あらゆる消費者向けデバイスがあらゆる企業に対して利用可能なボットネットの手先にとなり得ることもあります。このため、最もシンプルなデバイスであっても調査を実施することが、セキュリティの全体像を把握するために非常に重要になります。これは、CISAが、これらのデバイスの脆弱性が脅威勢力に利用されていることを報告し続けているため、これは生産終了(EOL)または古いルーターにさえも当てはまります。このため、私たちのチームは、消費者向けエッジデバイスを調査するだけでなく、よりシンプルなEOLデバイスを使用して、業界の関係者が脆弱性調査を行うために必要な技術を習得できるよう無料のトレーニングを提供しています。このテーマは、中華人民共和国(PRC)関連のCISAの追加アドバイザリにも当てはまり、SOHOやエンタープライズ環境で通常使用されるネットワークデバイスの国家主導の悪用により、DrayTekや現在のCiscoデバイスに焦点を当てる指針となっています。
時が経つにつれ、サプライチェーン攻撃に関する会話が爆発的に増え、今ではハードウェア、ソフトウェア、脆弱性やサードパーティ製ライブラリなど、あらゆるものについて議論されるようになりました。しかし、当初は、ルーターなどのネットワーク機器がサプライチェーンに関する話題の中心でした。その理由として、このタイプの機器は、エンドユーザーに届く前に、サードパーティのハンドラーや販売業者を経由することが一般的であり、これには、顧客のために処理を行うメーカー以外の企業も含まれます。これは、他のソフトウェアやハードウェアには存在しなかった新たな攻撃のベクトルを開く可能性があり、現在でも消費者、中小企業、エンタープライズにとって当てはまるものです。中国が、皆さんと同様、サードパーティ企業のインストーラーにお金を払っている可能性はあるでしょうか。現在そのような証拠はありませんが、攻撃者、特に国家に支援されたグループは、世界経済を危険にさらし、必要なアクセス権を得るために、余計なことをすることで知られています。今回報告されたような脆弱性があれば、悪意のある第三者は、デバイスが導入される前に、組織への完全なアクセスを得ることが簡単にできてしまうのです。
エッジデバイスは、あらゆる業界のすべてのネットワーク実装に存在します。1つの脆弱性が、医療、石油およびガス、テクノロジー、教育、小売業界などに影響を与える可能性があります。これにより、攻撃者にとって価値の高い標的となるため、私たちの研究チームは重点的に取り組んでいます。 Trellixも、大企業や顧客と同じ脅威にさらされています。つまり、すべての発見に対してタイムリーにパッチを適用する必要があります。しかし、ただパッチを適用するだけでは十分ではありません。国家が次の大きなエッジデバイスのゼロデイ脆弱性を発見し、ソーシャルメディアで公開するのを待つことは、私たちが実行したい緩和策ではありません。そのため、あらゆる分野・業種の中から最も影響力のある標的を特定し、新たな脆弱性を探し出すという、soulfulな仕事に取り組んでいます。
※本ページの内容は2023年1月24日(US時間)更新の以下のTrellix Storiesの内容です。
原文:We Don’t Just Patch – We Hack
著者: Douglas McKee