1億台以上のデバイスに影響を及ぼす脆弱性「NAME:WRECK」|アナリストチョイス 2021年05月 | Codebook

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|サイバーインテリジェンス/セキュリティNews|Machina Record Blog > Articles > Analyst's Choice > 1億台以上のデバイスに影響を及ぼす脆弱性「NAME:WRECK」|アナリストチョイス 2021年05月

1億台以上のデバイスに影響を及ぼす脆弱性「NAME:WRECK」|アナリストチョイス 2021年05月

Analyst’s Choice

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

アナリスト:Rory Morrissey (Intelligence Architect @Machina Record)

 

Articles

・1億台以上のデバイスに影響を及ぼす脆弱性「NAME:WRECK」

・悪意あるPC向けClubhouseアプリがFacebook上で宣伝される

 

1億台以上のデバイスに影響を及ぼす脆弱性「NAME:WRECK」

ForescoutとJSOF Researchの研究者は、TCP/IPスタック(FreeBSD、Nucleus NET、IPnet、NetX)内の9つの欠陥を特定しました。「NAME:WRECK」と名付けられたこれらの欠陥はドメイン・ネーム・システム(DNS)の実装に関連しており、リモートコード実行やサービス拒否攻撃に繋がる恐れがあります。

・Nucleus Netは、CVE-2020-15795、CVE-2020-27009、CVE-2020-27736、CVE-2020-27737、CVE-2020-27738、CVE-2021-25677の影響を受けています。CVE-2020-7461はFreeBSDに、CVE-2016-20009はIPNetに影響を及ぼしている一方、NetXはまだCVEを割り当てられていない欠陥に対して脆弱です。

・上記の研究者らは、この問題が少なくとも1億台のデバイスに影響を与えると予測しており、これらのスタックの利用拡大や、DNSクライアントの外部への露出が攻撃対象領域を増加させていると警告しています。研究者らはまた、上記全てのスタックによって受けた影響が最大だった上位3部門には政府と医療部門が含まれる、とも述べました。

出典:

        1. https://www.forescout.com/company/blog/forescout-and-jsof-disclose-new-dns-vulnerabilities-impacting-millions-of-enterprise-and-consumer-devices/?_hsmi=121126239&_hsenc=p2ANqtz-8HfykCDpfM_51y2ZDgJaFvfH4m1uYviFQOYtw9lN-qPLo3AM9ad0o2grnpYKUM7xQa0kXdjovnLxyBOgp30tO8FzIJEw
        2. https://github.com/Forescout/project-memoria-detector

 

Analyst’s Comments

 

影響範囲:

FreeBSD、Nucleus NET、IPnet、NetXのいずれかのTCP/IPスタックを利用する企業デバイスあるいは消費者デバイスを使用する人。

 

見解:

この脅威は高リスクと考えられます。これは、多くのIoTデバイスにこの脆弱性にパッチを適用するためのアップデートを簡単に行う能力が無いためです。こうしたデバイスはこの脆弱性によってオフラインにされるか、あるいは制御すらされる恐れがあり、壊滅的な損害につながりかねません。

 

緩和戦略:

問題のある4つのTCP/IPスタックの脆弱なバージョンを有するデバイスに、アップデート済みのパッチをインストールすることにより、この脅威から完全に身を守ることが可能です。さらに、何らかの理由でタイミングよくアップデートを行うことができないデバイスへの対応には、以下の対策をとることが可能です。

        1. Forescout Research Labsの提供する、脆弱なデバイスを特定するための以下のオープンソーススクリプトを活用してください。https://github.com/Forescout/project-memoria-detector
        2. パッチが適用されるまでは、脆弱なデバイスを制限するとともに、できる限り他のデバイスから分離してください。
        3. 内部のDNSサーバーを利用するようデバイスを設定するとともに、外部のDNSトラフィックを監視してください。これは、エクスプロイトには悪意あるパケットで返答するための悪意あるDNSサーバーが必要なためです。
        4. DNSクライアント、mDNSクライアント、そしてDHCPクライアントに影響を及ぼす、既知の脆弱性あるいは存在し得るゼロデイを悪用しようとする悪意あるパケットがないか、全てのネットワークトラフィックを監視してください。異常で不正なトラフィックはブロックされるべきです。あるいは少なくとも、その存在がネットワークオペレーターへ警告されるようにする必要があります。

 

悪意あるPC向けClubhouseアプリがFacebook上で宣伝される

・複数のFacebookページにリンクされている広告がClubhouseを装っており、それらの広告がPC向けの実在しないClubhouseバージョンを宣伝するサイトに繋がっていると、TechCrunchが報告しました。このアプリは一度ダウンロードされると、さらなる指示を求めてC2サーバーと通信しようと試みます。あるケースでは、このアプリがデバイスをランサムウェアに感染させようとしていたことが観測されました。

・ロシアでホストされているこの偽のClubhouseウェブサイトは、その後オフラインになっています。また、この広告はFacebookの広告ライブラリから削除されています。

出典:https://techcrunch.com/2021/04/08/facebook-ran-ads-for-a-fake-clubhouse-for-pc-app-planted-with-malware/?_hsmi=120467534&_hsenc=p2ANqtz-9gBozvy-lQ4wF-4p6Ekz3lyVbm-9afkM1kPBaIgym-nuCcn6-azaIuUKkKAuKbtwKJ9pZLLK3DigGg5vVL7bODpI_qmg

 

Analyst’s Comments

 

影響範囲:

個人およびBYOD(私用端末の業務利用)を従業員に許可している、あるいは企業所有のコンピューター上でのダウンロード制限をしていない企業。

 

見解:

有害な広告がすでにオフラインにされていることから、この脅威は低リスクです。

現在iPhoneでのみ利用可能なClubHouseアプリは、日本を含め世界的に大ブームとなりました。同プラットフォームへの招待の需要が大きかったため、招待を切望する人々はこのアプリの不正なバージョンに騙される可能性があります。

 

緩和戦略:

実行ファイルやアプリといった特定のタイプのファイルの企業用デバイスへのダウンロードを禁じるなどの予防策を、企業は採用すべきです。また、全ての悪意あるサイトをブロックするのは困難であっても、最低でもドメインの基本的なホワイト/ブラックリストを含む対策を採用し、想定外のURLクリックや、ミスによるURLクリックから生じる損害を防ぐ必要があります。

インターネットに接続されている全てのデバイスには、最新の有効なマルウェアスキャナーやウイルススキャナーをインストールし、常に動作させておく必要があります。