エクスプロイト&脆弱性
脆弱性発見コミュニティZero Day Initiative(ZDI)の2023年ハイライト
トレンドマイクロが運営する脆弱性発見コミュニティZero Day Initiative(ZDI)は、2024年を迎えて引き続き精力的に活動しています。本稿では2023年のハイライトを振り返ってみます。
Pwn2Ownコンペティションの一年
2023年1月には、2024年に東京で初開催されるPwn2Own Automotiveコンペティションが発表されました。このイベントも間近に迫っています。すでに複数のエントリーがあり、リサーチャーたちが披露する脆弱性利用の実証が楽しみです。
2023年2月には、Pwn2Ownマイアミが開催されました。こちらは産業制御システム(ICS)とSCADAを対象としたコンペティションであり、また、同イベントでのChatGPT利用も話題となりました。それぞれ27件のゼロデイ脆弱性の発見と実証に対して15万ドル以上の賞金が授与されました。
2023年3月には、オリジナルのPwn2Ownがバンクーバーで開催されました。同イベントで特筆すべきは、参加チーム「Synacktiv」がTesla Model 3のヘッドユニットを活用した実証により、賞金35万ドル(およびTesla Model 3自体)を獲得したことでした。車両ではなくヘッドユニットを使用したのは、実証された脆弱性利用によって車両自体が制御不能になる可能性を懸念し、安全を最優先したためでした。この3日間のコンペティションでは、合計103万5,000ドルの賞金が授与されました。
2023年10月に開催されたPwn2Ownトロントでは、家庭や小規模オフィスで利用される一般的なデバイスの脆弱性が扱われ、有線およびWi-Fiカメラなども追加され、これらが抱えるセキュリティ上の課題が扱われました。参加者たちは期待を裏切らず、興味深い成果を見せてくれました。ある参加チームは、QRコードを見せることでカメラをハッキングできる手法を実証しました。別のチームはMACアドレスを知っていればどのカメラでも攻撃できる手法を発見しました。特筆すべきは、同イベントでも参加チーム「Synacktiv」が実証した手法でした。Wi-Fiを介したリモート攻撃でカメラを標的にしてカーネルバッファオーバーフローの脆弱性が利用され、脆弱性が存在するカメラの範囲内にいるだけで完全制御が可能となりました。このイベントでは合計で93万8,250ドルの賞金が授与されました。
これらのイベントを含め、2023年のPwn2Ownコンペティションでは合計212万6,750ドルの賞金が支払われました。2024年は、自動車関連のイベントも盛り上がる見込みであり、さらに多額の賞金が支払われることでしょう。
注目すべき脆弱性
2023年には数多くの注目すべき脆弱性があり、複数だけに絞るのは難しいと言えます。敢えて挙げるならば、ZDIリサーチャーSimon Zuckerbraun氏が発見したActivation Context Cache Poisoningにおける特権昇格関連の脆弱性でしょう。これは「Most Under-Hyped Research」でPwnieアワードを受賞しました。ZDI-23-233/CVE-2023-27350という脆弱性も注目に値します。印刷管理ソフトウェアPaperCutに存在したこの脆弱性は、修正パッチが利用可能になった後に相当な被害をもたらし、改めてパッチ管理の重要性が浮き彫りにされました。個人的に注目したいケースは、Schneider Electric社製のAPC Easy UPS Onlineで発見された脆弱性です。これはZDI-23-444/CVE-2023-29411に採番された認証バイパス関連の脆弱性であり、悪用されると、 “system” RMIインターフェースで公開された以下のメソッドを用いることで、未認証のユーザがパスワードを要求されることなく管理者パスワードを更新できます。
updateManagerPassword(String managerPassword)
数字で見る脆弱性状況
2023年、ZDIは、プログラム史上最多となる1,913件のアドバイザリを公開し、4年連続で過去最高記録を更新しました。5年連続の記録更新は難しいかもしれませんが、この状況は、同プログラムの全体的な健全さを物語っています。昨年も同様のコメントを述べており、実際、2023年は、世界中の人々と協力しながら、ZDIにリサーチャーたちにとっても最も忙しい年であったといえます。公開されたアドバイザリのうち、49.4%以上がZDIの脆弱性リサーチャーによって報告されています。以下は、アドバイザリ件数の年間推移となります。
ZDIでは、配慮された上でのゼロデイ脆弱性の開示は、重要な事項であり、この点では2023年も成功だったといえます。ゼロデイ脆弱性の開示は2020年にその割合が最も多かったものの、その後2年間で減少し、2023年は198件の増加を記録し、ゼロデイ脆弱性の開示は、全体の約10%を占めました。
以下は、アドバイザリのベンダー別内訳です。意外ではないかもしれませんが、Adobe社が他のベンダーを大きく引き離してトップである点は注目に値します。2023年、Adobe社が修正した脆弱性のうち78%以上が、12月に修正対応されたXSS関連のものを除いて、ZDIによるものです。これは注目すべき成果といえるでしょう。Microsoft社の脆弱性も、ZDIのリサーチャーにとって人気の高い対象となっています。2023年、同社によって修正された脆弱性の20%以上がZDI経由で報告されました。D-Link社の脆弱性も、176件のアドバイザリにより大きく増加しました。さらに、PDF利用の脆弱性対策は、Adobe社に限らず、他の多くのベンダーにとっても課題となっています。Foxit社、Kofax社、PDF-XChange社も、ZDIから報告され、同様のファイル関連の脆弱性の課題解を抱えていました。
ZDIでは、常に影響力のある脆弱性に注目しています。2023年に公開されたアドバイザリのCVSSスコアからもその目的が達成されたことが分かります。報告された脆弱性の73%が「緊急」または「高」の深刻度に分類されたものでした。
ZDIが購入している脆弱性の種類に関しては、2023年のトップ10 CWE(Common Weakness Enumerations)をご覧ください。
デシリアライズ関連の脆弱性がトップ10に入っているのは注目に値します。また、スタックベースのバッファオーバーフローが範囲外メモリ書き込み(OOB: Out-Of-Bounds Write)の脆弱性よりも上位でランクインしている点も興味深いといえます。
2024年に向けて
2024年は、第1四半期には忙しくなる見込みです。現在、500件以上の脆弱性が確認され、該当ベンダーにも報告されて開示待ちとなっています。ZDIのイベントであるPwn2Own AutomotiveおよびPwn2Own Vancouverも開催間近です。現地に参加されない方に向けには、動画のストリーミングが配信され、様々なソーシャルメディアに動画ま投稿される予定です。
2024年には、ZDIウェブサイトおよびブログのデザインを更新する計画があります。昨年も同様のことを言っていましたが、今回は更新時にライトモードとダークモードの選択肢を提供する予定です。ZDIのウェブサイトのデザイン等に改善の余地があることは承知しており、今後、ビデオコンテンツの拡張も計画しています。毎月のパッチチューズデーの動画配信(英語)は、今後も続ける一方で、その形式を少し改善する予定です。
今後も引き続き、トレンドマイクロのお客様が直面しているリスクを考慮し、活動の範囲を広げ、情報収集の取り組みを洗練させ、ZDIが扱う脆弱性がお客様やより広範なエコシステムに大きな影響を与えるよう努めます。そして2024年は、影響力のあるリサーチ、リサーチャーが腕を競うコンテスト、実際に役立つ情報が満載のエキサイティングな年になるでしょう。ZDIからの最新情報(英語)は、公式ブログ(英語)のほか、YouTubeチャンネル、X(旧Twitter)、Mastodon、LinkedIn、InstagramといったSNS(英語版)からも得ることができます。
参考記事:
LOOKING BACK AT THE ZDI ACTIVITIES FROM 2023
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)