脆弱性「AMNESIA:33」数百万のデバイスに影響|アナリスト・チョイス 2021年1月 | Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog > Articles > Analyst's Choice > 脆弱性「AMNESIA:33」数百万のデバイスに影響|アナリスト・チョイス 2021年1月

脆弱性「AMNESIA:33」数百万のデバイスに影響|アナリスト・チョイス 2021年1月

Analyst’s Choice

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

*今月から、タイトルを記事の発信月に合わせています。本記事(1月号)でピックアップされている記事は、12月末までに公開されたものです。

 

アナリスト:Rory Morrissey (Intelligence Architect @Machina Record)

 

Articles

・IoT / OT / IT デバイス数百万台に影響与える脆弱性「AMNESIA:33」

研究者が埋め込み画像にペイロードを隠すパッカーを分析

 

 

 

数百万のデバイスに影響与える脆弱性「AMNESIA:33」

・Forescout の研究者は uIP、 FNET、picoTCP、Nut/Net に影響を与える33件の脆弱性を確認し、「AMNESIA:33」と名付けました。以上4つのオープンソース TCP/IP スタックは、100万を超える IoT デバイス、OT デバイス、 IT デバイスに利用されています。

この問題は、150を超えるベンダーに影響を及ぼしており、メモリ破壊の原因となるほか、攻撃者による任意のコード実行、機密データの取得、サービス拒否攻撃の実行を許す可能性があります。

出展:https://www.forescout.com/research-labs/amnesia33/?_hsmi=102263944&_hsenc=p2ANqtz-9UBD3oqckOPwo0VMBRFnUKHnvAdAu7xaVWJTKZFSvYvPhlO2ZD350POG65q9QA_JxLlCP8dsQ1doH-8iQGBIyrqPoc7w

 

Analyst’s Comments

 

影響範囲:

上記 TCP/IP スタック(uIP、 FNET、picoTCP、Nut/Net の4つを利用した IT デバイスを運用する企業が、リスクにさらされています。

また、在宅勤務をする従業員のいる企業は、脅威に対して無防備な消費者向け IoT デバイスを従業員が保有していれば、そのデバイスが原因で、より大きなリスクにさらされます。

 

見解:

新型コロナウイルスの影響により、在宅勤務し、自宅のネットワークに自分のコンピューターを接続する従業員が増えています。こうしたネットワークは、いくつもの脆弱な IoT デバイスに接続されている可能性があり、多くの場合、オフィスであれば通常行われるようなセキュリティ対策で保護されていません。

脅威アクターは、こうした脆弱性を悪用することで、ネットワークや VPN を通じたラテラルムーブメントができるようになる可能性があります。これによりアクターは、感染したマシンの信頼するデバイスにアクセスすることが可能になります。

 

緩和戦略:
      1. 不要な IPv6 トラフィックをブロックしましょう。
      2. セキュリティ・パッチを可能な限り速やかに適用しましょう。
      3. 自社のネットワーク管理にゼロ・トラストの考え方を導入しましょう。
      4. 不正なパケットを監視しましょう。
      5. デバイスとユーザーを、つなぐ必要のない他のデバイス・ユーザーから切り離しましょう。
      6. 不必要な IoT デバイスを撤去しましょう。

 

研究者が埋め込み画像にペイロードを隠すパッカーを分析

・Proofpoint の研究者は、ステガノグラフィーを利用してデータを画像の中に隠すパッカー(*)である CyaXHectobmp を検証しました。研究者たちによると、2つのパッカーは通常、画像全体のピクセルデータを利用するため、真の意味では「隠されて」いないとのことです。

これらのパッカーは Microsoft NET で書かれ、さまざまなマルウェアを拡散するために利用されます。CyaX がペイロードを隠すために単一の画像を用いるのに対し、Hectobmp は数百個の小さな画像を利用します。

【訳註】(*)パッカー 圧縮ツールのこと。

出展:https://www.proofpoint.com/us/blog/threat-insight/commodity-net-packers-use-embedded-images-hide-payloads?_hsmi=102263944&_hsenc=p2ANqtz-9d7RYh39Di3Qr86aHiAQ_tcX-v33MZK2OELJwE9QSJBxV9ova0PnKXCkIfnF4ecx-WwPoQnwnSVgF8R_O5eyjzEFUmxQ

 

Analyst’s Comments

 

影響範囲:

すべての人

 

見解:

こうした技術は、ネットワークの通常のセキュリティ保護をかいくぐって悪質なペイロードを運ぶために、簡単なローダー / 実行プログラムと併用される可能性があります。一見すると無害で、でたらめな模様に見える画像が、よく知られたマルウェアといった、はるかに悪質なものになるのです。

こうしたファイルは、検出をさらに回避するため、多くの場合、コード難読化やサンドボックス回避といった他の技術と組み合わされます。

 

緩和戦略:
      1. インサイダーの脅威から身を守るために、ソフトウェアの配信および配布メカニズムを強化します。ユーザーに提供元不明なファイルをダウンロードさせないようにしましょう。
      2. 画像編集ソフトウェアを使用して、画像のわずかな色の違いや、ステガノグラフィ攻撃を示す可能性のある多数の重複色など、ステガノグラフィの目印を探しましょう。
      3.  信頼できる署名のみを許可するようにします。信用できるベンダーによる信用できる署名が確認できるアプリケーションをインストールしましょう。
      4. バインダーを検出するためにアンチマルウェアを設定しましょう。
      5. ネットワークを区分化しましょう。
      6. 成功した攻撃を特定するために、アウトバウンド・トラフィックを監視しましょう。
      7. データの流出に使用されるのを防ぐために、ステガノグラフィソフトウェアは、必要最低限のデバイスに限定しましょう。