米国サイバーセキュリティ・インフラセキュリティ庁(CISA)によると、ある連邦政府機関で 2023 年に行われたレッドチーム演習により、最も重要な資産を露呈する一連のセキュリティ障害が明らかになったいう。
CISA は、これを「SILENTSHIELD 評価」と呼んでいる。CISA のレッドチームは、連邦民間行政機関 (FCEB)を選び、事前の通知なしに調査を行う。敵対的な国家の脅威グループによる長期的な策略をシミュレートしようとするのである。
この演習に関する同機関の説明によると、レッドチームは、対象機関の Oracle Solarisエンクレーブにあるパッチが適用されていない脆弱性(CVE-2022-21587 - 9.8)を悪用して初期アクセスを得ることができ、完全な侵害に至ったという。
注目すべきは、CVSS評価がほぼ最高スコアの 9.8 である認証されていないリモートコード実行(RCE)バグの CVE-2022-21587 が、2023 年 2 月に、悪用が確認された脆弱性(KEV:Known Exploited Vulnerabilities)に関する CISA のカタログに追加されたことである。CISA のレッドチームによる最初の侵入は 2023 年 1 月 25 日に行われた。
「アクセスを得た後、チームは、パッチが適用されていないデバイスを組織の信頼できるエージェントにすぐに知らせたが、利用可能なパッチを組織が適用するのに 2 週間以上かかった」と CISA の報告書には書かれている。「さらに、組織は影響を受けたサーバーの徹底的な調査を行わなかった。徹底的な調査をしていれば、IOC を調整できたであろうし、完全なインシデント対応につながるはずだった」
「チームがアクセスを得てから約 2 週間後、一般的なオープンソースのエクスプロイトフレームワークにエクスプロイトコードが公開された。CISA は、この脆弱性が未知の第三者によって悪用されたことを特定した。2023 年 2 月 2 日に CISA は、この CVE を悪用が確認された脆弱性カタログに追加した」
KEVカタログに脆弱性が追加されることには、いくつかの意味がある。第一に、これらは深刻であり、サイバー犯罪者によって悪用されることが知られているものである。深刻な結果につながる可能性もあるのだ。第二に、バグがカタログに追加されると、FCEB(連邦民間行政)機関がパッチを適用しなければならない期限も設定される。
KEV カタログの導入以来、CISA は連邦政府機関がこれらの期限をどの程度遵守しているかについては常に口を閉ざしてきたが、今回の件は期限が常に遵守されているわけではないことを示している。