米国国立科学技術研究所によって作成された国家脆弱性データベース(NVD)には、CVE番号付与機関(CNA)によって開示された報告された脆弱性が含まれています。このデータベースは、CVEプログラムの一環として、CVEアサインメント・チームと彼らが協力するCNAによって管理されています。CNAは、独自に、または雇用主を代表して、新しい脆弱性調査をデータベースに貢献するために協力する研究者です。CNAは、新しい脆弱性にIDを割り当て、その脆弱性に関する情報と改善勧告を公表する役割を担っています。
NVDが収集したCVEデータは、脆弱性管理、セキュリティ管理、是正、コンプライアンスを自動化するための最も包括的なツールであると広く考えられている。ほとんどの脆弱性管理製品は、通常、公開・記録された NVD データを製品に利用しています。
NVDは業界からの批判や改善の余地がないわけではない。例えば2017年には、CVEがリリースされてからNVDに公開されるまでに平均7日間のタイムラグがあることが明らかになり、ほとんどの脆弱性管理製品が脆弱性を報告する前に、脅威行為者が既知の脆弱性を活用する時間を十分に与えている。
このブログでは、NVDがどのように攻撃ベクターとなりうるか、またその防御方法について例を挙げて説明する。
NVDは脅威行為者に活用できるか?
新しい脆弱性がリストアップされると、NVD には脆弱性の分析や対処を支援するリソースとして、いくつかのリンクが掲載されます。例えば、Google Chrome の CVE がリリースされた場合、NVD には公式の Google Security Bulletin への参照リンクが記載されます。これらのリンクは、前述のように、既知の脆弱性の管理目的でコンテキストを追加するために、市販のセキュリティ製品に自動的にインポートされることがよくあります。
脆弱性管理システムが、特定のCVEに関連する最新のパッチをダウンロードするためのリンクをクリックするよう要求してきた場合、あなたはどのように対処しますか?場合によっては、CVEの緩和に関連するリンクはすべて信用してもよいと思うかもしれません。しかし、これらのリンクを埋め込み、最終的に信頼することには潜在的なリスクがあります。
NVDで報告された約337(または約2.5%)のユニークな「参照」ドメインは、オンラインまたは無料で購入可能であり、潜在的に重大なセキュリティ上の懸念をもたらしている。これは、脅威者がこれらのドメインを購入し、大規模なサプライチェーン攻撃で使用する可能性があることを意味する。脆弱性管理製品がクリックするように指示しているリンクは、手元のCVEを修復するためにダウンロードするパッチを提供するものではなく、ランサムウェアや高度持続的脅威(APT)へのアクセスに使用されるマルウェアかもしれない。
この脅威はどれほど高価で重大なのか?
潜在的な影響の規模を説明するために、利用可能なドメインの単純なコスト分布図を以下に示す。ほとんどのドメインが100米ドル未満か1000米ドル以上であることがわかる。合計約1700米ドルで、どんな行為者でも現在利用可能なドメインの約55%、またはすべてのドメインを約150万米ドルで購入できることになる。
これらのドメインのほとんどは10年以上前に失効しており、その後、現在サポートされている製品の「参照」リンクには記載されていません。しかし、以下の表を見ると、ごく最近のCVEに、これらの潜在的に利用可能で将来悪意のあるリンクが含まれていることがわかる。
このデータから、脅威行為者に乗っ取られる可能性のあるリソースとして、利用可能な参照ドメインが記載されているCVEの大部分が2006年のものであることがわかる。これらのCVEの多くは、すでに修正されているか、サポートが終了し代替された技術に影響を及ぼしている可能性があります。しかし、過去5年間にリソースとしてリストアップされた利用可能なドメインはまだ相当数あり、サポートが終了していない製品に影響を及ぼしています。
データをさらに掘り下げると、Firefoxのような非常に人気のある製品や、DrupalやWordpressのようないくつかのCMSを含む、NVDの「参照」の中にこれらの潜在的に悪意のあるリンクがより頻繁にある製品を抽出することができる。
悪意のある参照リンクを避けるために何をすべきか?
NVDの担当者は、外部リンクをクリックする際にユーザーに通知したり、特定のURLがもはや本来の目的のコンテンツにつながらない可能性があることを示す「URL Repurposed」タグを作成したりするなど、この問題に対するいくつかの対策をすでに講じている。また、歴史的参照目的でCVEレコードやリソースリストからURLを削除することはしていない。
この問題をさらに緩和するために、NIST NVDだけでなく、緩和のための詳細を準備したり、NVDデータを消費したりする各セキュリティベンダーも、セキュリティ管理を実施すべきである。
検討すべき行動のリスト:
- リンクを検証し、最新の状態に保つ。
- リンクは多くの場合パブリックドメインであり、変更される可能性があることをユーザーに知らせる。
- リンクの削除を検討する。
- ドメインの登録者と有効期限を監視します。
- エンドユーザーへ - セキュリティベンダーが提供するリンクを盲信してはならない。
