エクスプロイトインテリジェンス

VulnCheck エクスプロイト＆脆弱性インテリジェンスは、NIST National Vulnerability Database (NVD)、CISA KEVカタログなどをダウンロードするための別々のスクリプトを必要としません。VulnCheck エクスプロイト＆脆弱性インテリジェンスを統合することで、脆弱性の悪用および脆弱性全般に関するクラス最高の情報をタイムリーに得ることができる、オープンソースインテリジェンス（OSINT）製品と統合されます。

最も重要なのは、他の純粋な脆弱性中心のソリューションとは異なり、VulnCheckはエクスプロイトインテリジェンスと脆弱性インテリジェンスを統合して提供する点です。エクスプロイトインテリジェンスと脆弱性インテリジェンスを組み合わせることで、脆弱性の優先順位付けと修正に関するより良い洞察が得られます。

悪用に関して、VulnCheck エクスプロイト＆脆弱性インテリジェンスは、脆弱性の悪用状況を理解するのに役立つさまざまな機能を提供します。これには以下が含まれますが、これに限定されません。

Gitリポジトリ、ブログ投稿、その他のソースを監視して新しいエクスプロイトPoCを検出
エクスプロイトPoCのレビューと検証
エクスプロイトPoCのキャッシュ
エクスプロイト成熟度の分類
エクスプロイトタイプの分類
実際の攻撃での悪用の証拠
エクスプロイト/悪用のタイムライン
ランサムウェアファミリー、脅威アクター、ボットネット、およびエクスプロイト数

エクスプロイトの成熟度

最大エクスプロイト成熟度	意味
Weaponized	武器化済みとは、悪意のあるエクスプロイトを指します。例えば、マルウェア内に含まれるエクスプロイトや、実際に悪用されたことが報告されたもの、または「クリックするだけ」での悪用を容易にするもの（MetaSploit、VulnCheck Initial Access Intelligence、CANVAS、Core Impactなどで広く悪用できるもの）が該当します。通常、武器化されたエクスプロイトには、二次ペイロード、ドロッパー、またはインプラントが含まれます。
POC	POC（概念実証）は、現在悪用を実証するために使用できるものを指します。これには、ブログ投稿、curlリクエスト、Pythonスクリプトなどが含まれます。

最大エクスプロイト成熟度

意味

Weaponized

武器化済みとは、悪意のあるエクスプロイトを指します。例えば、マルウェア内に含まれるエクスプロイトや、実際に悪用されたことが報告されたもの、または「クリックするだけ」での悪用を容易にするもの（MetaSploit、VulnCheck Initial Access Intelligence、CANVAS、Core Impactなどで広く悪用できるもの）が該当します。通常、武器化されたエクスプロイトには、二次ペイロード、ドロッパー、またはインプラントが含まれます。

POC

POC（概念実証）は、現在悪用を実証するために使用できるものを指します。これには、ブログ投稿、curlリクエスト、Pythonスクリプトなどが含まれます。

エクスプロイトタイプの分類

VulnCheck エクスプロイト＆脆弱性インテリジェンスは、インデックス化されたエクスプロイトのブロック内にエクスプロイトタイプフィールドを維持しています。このフィールドは、初期アクセスエクスプロイトのような高影響のエクスプロイトと、サービス拒否エクスプロイトのような低影響のエクスプロイトを区別するのに役立ちます。

エクスプロイトタイプの定義

エクスプロイトタイプ	意味
Initial Access	初期アクセスエクスプロイトは、通常最も高い影響を持つエクスプロイトです。これらの脆弱性は、リモートコード実行（RCE）脆弱性とも呼ばれ、リモートで実行され、悪用に資格情報を必要としないことが多いです。
Remote with credentials	リモートで資格情報を必要とするエクスプロイトは、ネットワークに接続されたアプリケーションをターゲットにしますが、悪用には資格情報が必要です。
Local	ローカルエクスプロイトの例には、Linuxのsetuidバイナリを対象とするものが含まれます。
Client-side	クライアントサイドエクスプロイトの例には、Microsoft WordやExcelなどのクライアントアプリケーションを対象とするものがあります。
Infoleak	情報漏洩エクスプロイトは、ターゲットからデータを漏洩させますが、ターゲットの完全性には影響しません。
Denial of Service	サービス拒否エクスプロイトは、通常、サービスやアプリケーションをクラッシュさせます。注: サービス拒否エクスプロイトは、初期アクセスエクスプロイトが投稿される前に、初期アクセス脆弱性を対象とすることが多いです。

上記の表は、現在利用可能なVulnCheck エクスプロイト＆脆弱性インテリジェンスのエクスプロイトタイプを示しています。

エクスプロイトレコードの例

VulnCheck APIは、VulnCheck エクスプロイト＆脆弱性インテリジェンスの利用を簡単に開始できます。まず、次のようにexploitsインデックスに対して/v3/index/:index?cve=:cve APIをクエリします。

curl --request GET \
    --url https://api.vulncheck.com/v3/index/exploits?cve=CVE-2019-3396 \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer insert_token_here'

上記の例は、エクスプロイトインデックスを検索してCVE-2019-3396に関する情報を取得します。

CVEごとのエクスプロイトのAPIレスポンス例

有効なCVE識別子を使用して/v3/index/exploits?cve=:cve APIエンドポイントを呼び出した後、次のようなレスポンスが返されます。

{
  "_benchmark": 0.055187,
  "_meta": {
    "index": "exploits",
    // ...
  },
  "data": [
    {
      "id": "CVE-2019-3396",
      "public_exploit_found": true,
      "commercial_exploit_found": true,
      "weaponized_exploit_found": true,
      "max_exploit_maturity": "weaponized",
      "reported_exploited": true,
      "reported_exploited_by_threat_actors": true,
      "reported_exploited_by_ransomware": true,
      "reported_exploited_by_botnets": true,
      "inKEV": true,
      "timeline": {
        "nvd_published": "2019-03-25T19:29:00Z",
        "nvd_last_modified": "2021-12-13T16:05:00Z",
        "first_exploit_published": "2019-03-25T00:00:00Z",
        "first_exploit_published_weaponized_or_higher": "2019-04-11T00:00:00Z",
        "most_recent_exploit_published": "2021-05-01T02:10:04Z",
        "first_reported_threat_actor": "2019-08-19T00:00:00Z",
        "most_recent_reported_threat_actor": "2021-01-01T00:00:00Z",
        "first_reported_ransomware": "2019-04-23T00:00:00Z",
        "most_recent_reported_ransomware": "2022-06-22T00:00:00Z",
        "first_reported_botnet": "2019-04-26T00:00:00Z",
        "most_recent_reported_botnet": "2022-04-27T00:00:00Z",
        "cisa_kev_date_added": "2021-11-03T00:00:00Z",
        "cisa_kev_date_due": "2022-05-03T00:00:00Z"
      },
      "trending": {
        "github": false
      },
      "epss": {
        "epss_score": 0.97498,
        "epss_percentile": 0.9996,
        "last_modified": "2023-08-15T13:49:54.769353Z"
      },
      "counts": {
        "exploits": 22,
        "threat_actors": 3,
        "botnets": 3,
        "ransomware_families": 4
      },
      "exploits": [
        {
          "url": "https://packetstormsecurity.com/files/161065/Atlassian-Confluence-6.12.1-Template-Injection.html",
          "name": "Atlassian Confluence 6.12.1 Template Injection",
          "refsource": "packetstorm",
          "date_added": "2021-01-22T00:00:00Z",
          "exploit_maturity": "poc",
          "exploit_availability": "publicly-available"
        },
        {
          "url": "https://packetstormsecurity.com/files/152568/Atlassian-Confluence-Widget-Connector-Macro-Velocity-Template-Injection.html",
          "name": "Atlassian Confluence Widget Connector Macro Velocity Template Injection",
          "refsource": "packetstorm",
          "date_added": "2019-04-18T00:00:00Z",
          "exploit_maturity": "poc",
          "exploit_availability": "publicly-available"
        }
        // ...
      ],
      "reported_exploitation": [
        {
          "url": "https://cisa.gov/news-events/cybersecurity-advisories/aa21-209a",
          "name": "Top Routinely Exploited Vulnerabilities",
          "refsource": "cisa-alerts",
          "date_added": "2021-08-20T00:00:00Z"
        },
        {
          "url": "https://us-cert.cisa.gov/ncas/alerts/aa20-275a",
          "name": "Potential for China Cyber Response to Heightened U.S.–China Tensions",
          "refsource": "cisa-alerts",
          "date_added": "2020-10-20T00:00:00Z"
        }
        // ...
      ]
    }
  ]
}

上記の例のレスポンスは、CVE-2019-3396に対してexploitsインデックスが返す内容を示しています。