Malwarebytesはこのほど、「Timely patching is good, but sometimes it's not enough」において、、脆弱性を修正するパッチが公開されてからシステムに提供されるまでの間とされる「パッチギャップ」について伝えた。「Lorenz」と呼ばれるサイバー攻撃グループによるバックドアを設置するランサムウェアキャンペーンを例に、「パッチギャップ」の詳細が紹介されている。

  • Timely patching is good、but sometimes it's not enough

    Timely patching is good, but sometimes it's not enough

Lorenzは、2021年に初めて観測されたサイバー攻撃グループ。世界中の組織を標的にしており、VoIPの脆弱性を悪用して被害者の環境に接続することが得意とされている。

今回、セキュリティ研究者の調査により、LorenzがCVE-2022-29499として特定されている脆弱性を悪用していることがわかった。この欠陥はカナダの電気通信会社であるMitelが提供しているVoIPサービスのMiVoice Connectに存在する脆弱性とされ、悪用された場合、リモートコード実行(RCE: Remote Code Execution)が可能とされている。

この脆弱性に対してパッチは既に提供されている。しかしながら、このランサムウェアグループはパッチをリバースエンジニアリングして脆弱性を解析し、エクスプロイトを作成したことが明らかにされている。キャンペーンによる被害者が確認されており、パッチギャップの期間にバックドアが仕込まれたことが判明している。

Malwarebytesはパッチギャップへの完全な対応策を行うことは難しいが、パッチギャップをできるだけ小さくすることが重要と指摘している。脆弱なデバイスを常にチェックしておくとともに、セキュリティ侵害インジケータ(IoC: Indicator of Compromise)を利用すること、パッチが適用されたシステムで不正なアクセスが観測されていないか確認することなどが望まれている。パッチギャップを短くすることも重要で、速やかに更新または緩和策を行うことが強く推奨されている。