Cortex Xpanseの最新の取り組み

2021年末、米国国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(DHS/CISA)が拘束力のある運用指令22-01 (BOD 22-01)を発令し、攻撃者に悪用されたとCISAが判断した、既知の悪用された脆弱性(KEV)のリストを公開しました。Cortex Xpanseを利用すると、最新のイシューカタログ「Software Potentially Impacted by CISA Known Exploited Vulnerabilities (BOD 22-01)」によって、影響を受ける可能性があるサービスを特定し、追加調査やパッチの適用、利用の中止を行えます。

本稿作成時点で、BOD 22-01に伴うCISAの既知の悪用された脆弱性カタログには504種類の共通脆弱性識別子(CVE)が含まれます。この脆弱性は少なくとも225種類の製品とサービスに影響し、その約56%は公共インターネットに接続されています。CISAは新たなCVEをカタログに追加しており、脆弱性の数は着実に増加し続けています。 

CISAの既知の悪用された脆弱性(KEV)カタログに対応したXpanseのイシューポリシー

(更新日時: 2022年03月17日) 

このセクションでは、KEVカタログの脆弱性が含まれる可能性がある製品とサービスを列挙した、Xpanseのイシューポリシーの一覧をご紹介します。今後もリサーチチームと開発チームが製品に検出機能を追加するごとに、このリストは更新されます。  

Expanderは何らかのエージェントやセンサーをインストールすることなく、公共のインターネットに接続されているシステムを表示できます。以下に示したシステムの中には、バージョン情報を公開しないか、お客様のネットワーク設定によって公開を禁止されるシステムも存在します。Expanderはバージョン情報やその他のメタデータの取得または導出を試みますが、不可能なケースも存在します。 

一部のデバイス/アプリケーションについてはほぼ確実に判別できるため、そこからKEVカタログの特定のCVEに対応した脆弱性が存在することを推定可能です。以下のサービスの安全でないバージョンがこのカテゴリに含まれ、Cortex Xpanseのイシューポリシーとして自動的に有効化されています。

• Apache Web Server
• Atlassian Confluence Server
• Atlassian Crowd Server
• Cisco Small Business RVシリーズルーター
• Citrix Application Delivery Controller
• Drupal Web Server
• Exim Mail Transfer Agent
• Microsoft Exchange Server
• Mikrotikルーター
• MobileIron Sentry
• SolarWinds Orion Platform
• SolarWinds Serv-U
• Telerik Web UI
• Zoho ManageEngine ServiceDesk Plus

他のデバイス/アプリケーションについては、このレベルの可視性が得られません。それでもXpanseはインターネット接続されたアクティブなサービスの存在を検出できます。こうしたアプリケーションにもイシューポリシーを用意しており、[Policies]タブから有効化できます。必要に応じて[On]とすることを強くおすすめします。  

• Accellion FTA
• Adobe ColdFusion
• Adobe Commerce
• Apache Log4j* 
• Apache Solr
• Cisco 適応型セキュリティアプライアンス
• Cisco Firepowerデバイス
• Cisco HyperFlex
• Cisco IOS
• Cisco IOS XE
• Cisco IOS XR
• Cisco Unified IP Phones
• Citrix Workspace
• DrayTek Vigorルーター
• Elastic Kibana User Interface
• F5 Advanced Web Application Firewall
• F5 BIG-IP Access Policy Manager
• F5 BIG-IP TMUI
• Fortinet FortiOS
• IBM Websphere Application Server
• Kaseya VSA
• Liferay Portal
• MongoDB Mongo-Express
• Microsoft OWA Server
• Nagios XI
• NetGear ProSafe
• Netis Router
• October CMS 
• Oracle WebLogic Server
• PAN-OSデバイス
• Pulse Secure Pulse Connect Secure VPN
• RDP Server
• Roundcube Webmail
• SaltStack Server
• SAP NetWeaver Application Server
• SharePoint Server
• SonicWall Email Security
• SonicWall Secure Mobile Access VPN
• Symantec Messaging Gateway
• Synacor Zimbra Collaboration Suite
• vBulletin Web Server
• VMware ESXi
• VMware vCenter
• VMware Workspace ONE Access Server
• VMware Workspace One Administrative Configurator
• Zabbix IT Monitoring Software
• Zoho ManageEngine ADSelfService Plus
• Zoho ManageEngine Desktop Central

この基本リストを利用することで、インターネット接続されているアクティブなサービスを迅速に特定できます。また、監査表をエクスポートしてパッチの適用を行うことも可能です。Cortex XSOARのお客様については、Xpanse統合が外から内の視点で外部公開されているソフトウェアを自動チェックします。そして場合によっては検出されたバージョンを記録し、他のアクションを準備します。

Expander上でKEV脆弱性を確認するには、イシューモジュールを利用

Xpanseはイシュータイプをカテゴリまたはテーマとしてグループ化することで、閲覧とフィルタリングを容易にします。弊社で「Software Potentially Impacted by CISA Known Exploited Vulnerabilities (BOD 22-01) 」という名称のイシューカテゴリを新規に作成しています。このカテゴリには、KEVカタログのCVEに影響を受けるおそれがあるソフトウェアに対応した既存のポリシーがすべて含まれます。 このセクションでは、KEVの影響を受けるおそれがある資産の一覧を確認する際の操作を、順を追って説明します。

確認したい個別のイシューを探すには、下図のリスト[1]をスクロールします。または、イシューの名称を検索バー[2]に入力して、下に表示されるリストからイシューを選択し[Apply]をクリックします。                                 

個別のイシューを選択すると、Xpanseの累積データが画面中央のリストに表示されます。

[Export CSV]ボタンをクリックすると、このリストをCSV形式(.csv)のファイルでエクスポートできます。

リストに含まれる個別のイシューを詳しく確認するには、リスト上のイシューをクリックしてください。  

すると、イシュー詳細画面が開きます。この画面には、特定の脆弱性に関する情報、Xpanseの判定理由に関する情報、ネットワーク上の発見場所、および監視に関連したIP範囲、証明書、ドメインが表示されます。   

選択したイシューに関する共有可能な詳細レポートを作成するには、[Print PDF]ボタンをクリックしてください。  

Expander上のイシューに関する情報がすべて含まれる、詳細なイシューの要約がpdf形式で作成されます。

What Cortex Xpanse does today

In late 2021, the U.S. Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (DHS/CISA) issued Binding Operational Directive 22-01 (BOD 22-01), which introduced a list of Known Exploited Vulnerabilities (KEVs) that threat actors have exploited. Cortex Xpanse can help users to find potentially-impacted services for further investigation, patching, or decommissioning via the new Software Potentially Impacted by CISA Known Exploited Vulnerabilities (BOD 22-01) Issue category.

As of this writing, CISA’s Known Exploited Vulnerabilities catalog accompanying BOD 22-01 contained 788 individual Common Vulnerabilities and Exposures (CVEs), impacting at least 322 unique products and services, approximately 57% of which face the public internet. These numbers continue to increase steadily as CISA adds new CVEs to the catalog.

Xpanse Issue Policies Aligning to CISA’s Known Exploited Vulnerabilities (KEV) Catalog

(Updated: 8/1/2022) 

This section includes all Xpanse Issue policies that enumerate potentially vulnerable products and services in the KEV catalog. We will continually update this list as our research and development teams add detection capabilities to our product.  

Expander shows systems that are exposed to the public internet, without the need to install agents or sensors of any kind. Some of the systems below do not advertise version information, or are otherwise restricted from doing so depending on the configuration of our customers’ networks. Expander attempts to retrieve or derive version information and other metadata, but this is not possible in all cases. 

We are able to determine some devices/applications with a higher degree of confidence and thereby infer vulnerability to specific CVEs in the KEV catalog. The insecure versions of the following services fall into that category, and have been automatically enabled as Issue Policies in Cortex Xpanse:

• Apache Druid
• Apache Web Server
• Atlassian Confluence Server
• Atlassian Crowd Server
• Cisco Small Business RV Series Router
• Citrix Application Delivery Controller
• Drupal Web Server
• Exim Mail Transfer Agent
• Hikvision Device
• Microsoft Exchange Server
• Mikrotik Router
• MobileIron Sentry
• PHP
• SolarWinds Orion Platform
• SolarWinds Serv-U
• Sumavision Enhanced Multimedia Router
• Telerik Web UI
• Zoho ManageEngine ServiceDesk Plus

Other devices/applications do not provide this level of visibility, though Xpanse is still able to identify the presence of the active internet-facing service. These applications have Issue policies that can be enabled by your team in the Policies tab; we encourage our customers to toggle them to “On” as needed. 

• Accellion FTA
• Adobe ColdFusion
• Adobe Commerce
• Adobe Flash
• Apache Active MQ
• Apache Log4j* 
• ApacheShiro
• Apache Solr
• Atlassian Jira Server
• Cisco Adaptive Security Appliance
• Cisco Duo SSO
• Cisco Firepower Device
• Cisco HyperFlex
• Cisco IOS
• Cisco IOS XE
• Cisco IOS XR
• Cisco Unified IP Phones
• Citrix SD-WAN
• Citrix ShareFile Server
• Citrix Workspace
• Citrix XenMobile Server
• DrayTek Vigor Router
• Elastic Kibana User Interface
• Elasticsearch Server
• EmbedThis GoAhead WebServer
• F5 Advanced Web Application Firewall
• F5 BIG-IP Access Policy Manager
• F5 BIG-IP Platform
• F5 BIG-IP TMUI
• ForgeRock Access Management Server
• Fortinet FortiOS
• Fortinet Fortigate SSL Vpn
• Hikvision Device
• IBM Planning Analytics
• IBM Websphere Application Server
• Kaseya VSA
• Liferay Portal
• Log4Shell Vulnerable Apache Solr
• Log4Shell Vulnerable IBM WebSphere Application Server
• Log4Shell Vulnerable SonicWall Email Security
• Log4Shell Vulnerable VMware Workspace ONE Access Server
• Microsoft OWA Server
• MikroTik Router
• MongoDB Mongo-Express
• Nagios Fusion
• NetGear ProSafe
• Netis Router
• October CMS 
• Oracle WebLogic Server
• PAN-OS Device
• Pulse Secure Pulse Connect Secure VPN
• rConfig Network Configuration Management
• RDP Server
• Redis Server
• Roundcube Webmail
• SaltStack Server
• SAP NetWeaver Application Server
• SharePoint Server
• SMB Server
• SonicWall Email Security
• SonicWall Secure Mobile Access VPN
• SonicWall Secure Remote Access
• Sophos SG Series Firewall
• Sophos XG Series Firewall
• Symantec Messaging Gateway
• Synacor Zimbra Collaboration Suite
• Tenda Routers
• ThinkPHP Application
• Tomcat Web Server
• vBulletin Web Server
• VMware ESXi
• VMware Spring Framework
• VMware vCenter Admin Page
• VMware Workspace ONE Access Server
• VMware Workspace One Administrative Configurator
• Zabbix IT Monitoring Software
• Zoho ManageEngine ADSelfService Plus
• Zoho ManageEngine Desktop Central
• Zyxel Firewall
• vBulletinWebServer

Customers can leverage this basic enumeration for quick identification of active internet-facing services and export of an audit list for patching. For Cortex XSOAR customers, Xpanse integration leverages the outside-in perspective to automatically check for exposed software, and in some cases record the detected versions and queue other actions.

Surfacing KEV Exposures in Expander → Issues Module

Xpanse groups Issue types into categories or themes to make them easier to browse and filter. We’ve created a new Issue Category called Software Potentially Impacted by CISA Known Exploited Vulnerabilities (BOD 22-01) containing all existing policies covering software potentially affected by CVEs in the KEV catalog. This section offers a walk through of the user experience for enumerating assets that may be impacted by a KEV.

To find a particular Issue of interest, scroll through the list [1] or start typing the name of the Issue in the search field [2], select from the list that populates below, then click Apply [3].                                 

As you select individual Issues, Xpanse’s cumulative findings will populate within the list view in the main part of the screen:

To export this list as a comma separated values (.csv) file, click the Export CSV button:

To get more information on an individual Issue on the list, click into it in the list view:  

This will open the Issues details view, with information on the specific exposure and why Xpanse flagged it, where it was found on your network, and any IP ranges, certificates, or domains associated with the observation:   

To created a detailed, shareable report on the selected Issue, use the Print to PDF button:  

This generates a .pdf summary of Issue details, including all the information for that Issue in Expander: