Last Updated on 2024-07-03 08:12 by admin
セキュリティ研究者がPalo Alto Networksの拡張検出と対応(XDR)ソフトウェアを悪用し、完璧なマルウェアに変えることが可能であることを発見した。この研究は、Black Hat Asiaで2023年4月17日にShmuel Cohenによって発表された。Cohenは、同社のCortex製品を逆工学し、リバースシェルとランサムウェアを展開するために利用した。この攻撃に関連する脆弱性のほとんどはPalo Altoによって修正されたが、CortexのLuaファイルが暗号化されていないという問題はそのまま残された。CohenとPalo Alto Networksは、暗号化が攻撃者にとって大きな障壁にならないと結論付けたため、この問題に対する修正は行わなかった。他のXDRソリューションも同様の攻撃に対して脆弱である可能性があるが、明確ではない。
【ニュース解説】
セキュリティ研究者が、Palo Alto Networksの拡張検出と対応(XDR)ソフトウェア「Cortex」を悪用し、それをマルウェアに変えることができることを発見しました。この研究は、2023年4月17日にBlack Hat AsiaでShmuel Cohenによって発表されました。CohenはCortexを逆工学し、リバースシェルとランサムウェアを展開するために利用しました。この攻撃に関連する脆弱性のほとんどはPalo Altoによって修正されましたが、CortexのLuaファイルが暗号化されていないという問題はそのまま残されました。
この研究は、セキュリティツールがどのようにして攻撃者に悪用され得るかを示しています。XDRソフトウェアは、リアルタイムでの監視と脅威検出を行うために、システム内のあらゆる情報への広範なアクセス権を必要とします。この広範なアクセス権が、悪意のある目的で利用されるリスクを生み出します。
Cohenの攻撃方法は、XDRソフトウェアの防御機能を無効化し、攻撃者がシステムを完全に制御下に置くことを可能にしました。この攻撃は、セキュリティソフトウェアがどのようにして攻撃者の手によって逆に利用され得るかを示す貴重な事例です。
この研究の結果、Palo Alto Networksは脆弱性の修正に取り組みましたが、Luaファイルの暗号化に関しては修正されませんでした。これは、暗号化されたファイルも最終的には解読される必要があるため、攻撃者にとって大きな障壁にはならないと判断されたからです。
この事例は、セキュリティソフトウェアの開発者にとって、ソフトウェアの設計と実装において、潜在的な悪用の可能性を常に考慮する必要があることを強調しています。また、他のXDRソリューションも同様の攻撃に対して脆弱である可能性があるため、業界全体での対策と警戒が求められます。
この研究は、セキュリティコミュニティにおける重要な議論を促すものであり、セキュリティツールの安全性と信頼性を高めるための取り組みがさらに重要になっています。セキュリティソフトウェアの開発者は、攻撃者が利用可能な脆弱性を最小限に抑えるために、継続的な改善と更新を行う必要があります。
from Evil XDR: Researcher Turns Palo Alto Software Into Perfect Malware.
