Tenable Identity Exposure 2024 年オンプレミスリリースノート
以下のリリースノートは、新しいリリース順にリストされています。
Tenable Identity Exposure 3.59.8 (2024 年 10 月 23 日)
バグ修正
Tenable Identity Exposure バージョン 3.59.8 には、以下のバグ修正が含まれています。
| バグ修正 |
|---|
| セキュアリレーのスケジュールタスクに、有効なパラメーター -AfadRolePath が追加されました。アップグレード中に、Tenable Identity Exposure がスケジュールタスクを削除して再作成します。 |
| Tenable Identity Exposure は、より安定したバージョンへ RabbitMQ をダウングレードしました。 |
| Tenable Identity Exposure インストーラーのローカライズバージョンで、無効な証明書をアップロードすると、英語のエラーメッセージが表示されます。 |
ソフトウェア依存関係のアップデート
| ソフトウェア名 | アップグレード前 | アップグレード後 |
|---|---|---|
| Tenable Identity Exposure | 3.59.7 | 3.59.8 |
| C++ 2015-2019 再頒布可能パッケージ | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.32 | 6.0.35 |
| .NET Runtime | 6.0.32 | 6.0.35 |
| .Net Core | 6.0.32 | 6.0.35 |
| ASP.NET Core | 6.0.32 | 6.0.35 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.18.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.4 |
| Rabbit MQ | 3.13.6 | 3.12.4 |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 3.3.0 | 3.3.2 |
| Envoy | 1.29.5 | 1.29.9 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.9.1 | 8.10.1 |
Tenable Identity Exposure 3.42.20 (2024 年 10 月 23 日)
ソフトウェア依存関係のアップデート
| ソフトウェア名 | アップグレード前 | アップグレード後 |
|---|---|---|
| Tenable Identity Exposure | 3.42.19 | 3.42.20 |
| C++ 2015-2019 再頒布可能パッケージ | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.32 | 6.0.35 |
| .NET Runtime | 6.0.32 | 6.0.35 |
| .Net Core | 6.0.32 | 6.0.35 |
| ASP.NET Core | 6.0.32 | 6.0.35 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.3 | 18.20.4 |
| Erlang OTP | 26.2.5.2 | 26.2.5.4 |
| MSSQL | 15.0.4385.2 | 15.0.4385.2 |
| RabbitMQ | 3.12.14 | 3.12.14 |
| OpenSSL (変更なし) | 1.1.1t | 1.1.1t |
| SysInternals Handle | 5.0.0 | 5.0.0 |
| cUrl | 8.91 | 8.10.1 |
(早期アクセス) Tenable Identity Exposure 3.77 (2024 年 10 月 1 日)
新機能
-
攻撃インジケーター (IoA)
-
新しい基本モードとアグレッシブモード — 基本モードは、効率を重視した設定を希望するお客様向けに設計されており、設定時間を最小限に抑え、誤検出を減らして、不要なアラート発生を抑えます。これは、次の IoA に適用されます。
-
DCSync
-
不審な DC パスワードの変更
-
ゴールデンチケット
-
NTDS 抽出
-
OS 認証情報のダンプ: LSASS メモリ
-
ローカル管理者の列挙
-
SAMAccountName のなりすまし
-
-
危険な Kerberos 委任 — Tenable Identity Exposure は、「委任に対して保護されていない」という理由でコンピューターを逸脱としてフラグ付けすることはありません。既存の逸脱はすべて解決します。
-
-
露出インジケーター (IoE)
-
新しい IoE
- シャドウ認証情報 - 新しい IoE は、「Windows Hello for Business」機能とそれに関連する鍵認証情報のシャドウ認証情報のバックドアと設定ミスを検出します。
-
管理サービスアカウントの危険な設定ミス — 新しい IoE は、管理サービスアカウントのデプロイメントと設定が適切であることを確認します。
-
特権認証サイロ設定 — AD 管理者がティア 0 アカウントの認証サイロをインストールして設定するのを支援します。
-
RSOP ベースの IoE — パフォーマンスを上げるため、Tenable Identity Exposure は RSoP (ポリシーの結果セット) のライブチェックを除外します。代わりに、RSoP セキュリティチェックを 30 分ごとに 1 回でスケジュール設定し、RSoP プロセス中に必要な関連チェックをより適切に管理できるようにします。詳細については、RSOP ベースの露出インジケーターを参照してください。
-
シャドウ認証情報 - 新しい IoE は、「Windows Hello for Business」機能とそれに関連する鍵認証情報のシャドウ認証情報のバックドアと設定ミスを検出します。
-
KRBTGT アカウントで前回行ったパスワード変更 — Windows Hello for Business の krbtgt_AzureAD アカウントのサポートを追加しました (Cloud Trust デプロイメント)。
-
可逆パスワード — PSO により属性 msDS-PasswordReversibleEncryptionEnabled で定義された可逆パスワードの検証が追加されました。
-
ローカル管理アカウントの管理 — 新しい Windows LAPS をサポートします。[インストールされている LAPS バージョン] という新しいオプションを導入し、ユーザーの選択に基づいて LAPS バージョンの設定を検証します。
-
- プロキシ — Tenable Identity Exposure のインストールまたはアップグレード中にプロキシ接続を定義できます。このプロキシ接続により、オンプレミス環境で Tenable One の機能を使用できるようになります。
-
SMB 署名の強制 — Tenable Identity Exposure は、ドメインコントローラーや他のサーバーで適切な SMB 署名を強制します。[デフォルトドメインコントローラーポリシー] パラメーターを検証し、他のサーバーに正しい GPO 設定がないかチェックします。
機能強化
-
メールアラートは、有効な暗号化プロトコル、具体的には TLS 1.2 と 1.3 のみをサポートするようになりました。セキュアリレーをオーバーライドして、SSLv3 などの廃止された SMTP 暗号化標準を使用しているお客様は、そのオーバーライドを削除する必要があります。現在、許可される値は「Tls12」、「Tls13」、または「TLS12, Tls13」(サーバーバージョンに基づく自動切り替え) のみです。サポートされていない値を使用すると、リレーは開始しません。
-
10 時間の新しい「遅延期間」— この間に正当なユーザーを許可リストに追加し、誤検出の数を減らします。
-
IoA 設定 — イベント分析をトリガーする前にイベント収集の期間を選択できます。値は 30 秒から 9 分までです。
-
Active Directory — Tenable Identity Exposure が管理する AD オブジェクトのサイズ制限が引き上げられました。
-
露出インジケーター
- 危険な Kerberos 委任 — 新しく追加された理由により、制限付き委任で使用される属性 (msDS-AllowedToDelegateTo) が存在しないサービスプリンシパル名 (SPN) を参照しているすべてのアカウントが報告されるようになりました。
-
ユーザープライマリグループ IoE - 理由が追加され、権限不足のために primaryGroupID 属性が空として表示されるアカウントをすべて報告するようになりました。
-
パスワードが決して期限切れにならないアカウント — 特権ユーザーと通常ユーザーを区別する新しい理由。
-
セキュリティプリンシパルの競合 — ユーザー、コンピューター、グループなど、重複している (競合する) オブジェクトがないことをチェックする新たな IoE。
-
古いパスワードを使用しているユーザーアカウント、廃止になった OS を実行しているコンピューター、休止アカウント — 特権ユーザーと通常ユーザーを区別する 2 つの新しい理由。
-
コンピューター堅牢化 GPO のないドメイン
-
すべてのドメインコンピューターで null セッションが明示的に無効化されていることを確認するための新しいチェック
-
ドメインコントローラー (SYSVOL/NETLOGON 共有) に対して設定された堅牢化された UNC パスに関連する新しいチェック
-
すべてのドメインコントローラーで印刷スプーラーサービスが無効化されていることを確認するための新しいチェック
-
-
ユーザーアカウントの Kerberos 設定 — AS-REP ロースト攻撃の影響は受けないため、スマートカードを持つユーザーをセキュリティ問題とはみなさなくなりました。
-
危険な Kerberos 委任 — 新しい理由が Microsoft Entra Connect アカウント (AZUREADSSOACC) の Kerberos 委任の現在の設定を検出します。
バグ修正
Tenable Identity Exposure バージョン 3.77 には、以下のバグ修正が含まれています。
| バグ修正 |
|---|
| Tenable Identity Exposure で、Tier0 資産グラフの構築が確実に成功するようになりました。 |
| セキュリティ分析サービスは、CPU 使用率が高いピーク時 (セキュリティチェック中など) の入力を処理します。 |
| Tenable Identity Exposure は、ヘルスチェックの問題について、不明なステータスで成功した場合の説明を表示します。 |
| Tenable Identity Exposure は、信頼属性を適切に解析し (まれなシナリオで欠落している場合でも)、問題なくトポロジービューを表示します。 |
| 攻撃インジケーター (IoA) のデッドロック問題が、セキュリティ分析サービスをホストしているマシンで発生しなくなりました。 |
| AD Data Collector サービスのヘルスチェックが、true と報告されるようになりました。 |
| ユーザーに対する弱いパスワードポリシーの適用 IoE が強化され、オプションの制限に関連するエッジケースをより適切に処理できるようになりました。 |
| ディレクトリリスナーをアップグレードして再起動した後に、セキュアリレーのインストーラーがトリガーしなくなりました。 |
| Tenable Identity Exposure は、セキュアリレーが、セキュリティ分析サービスで不要になった LDAP クエリ結果を繰り返し送信しないようにしました。 |
| DCSync IoA は、Tenable サービスアカウントの [samAccountName] が 20 文字を超えるエッジケースに対応するようになりました。これにより、特権分析機能が有効なときにアラートがトリガーされなくなります。 |
| ローカライズされたバージョンのインストーラーを使用しているときに無効な証明書をアップロードすると、エラーメッセージが英語で表示されます。 |
| Microsoft Entra ID と同期している特権 AD ユーザーアカウント IoE に、[コンピューターのホワイトリスト] オプションが不要になりました。 |
| パスワード推測 IoA のオプション [検知時間間隔] が正しいラベルを表示するようになりました。 |
| Tenable Identity Exposure 環境のベース URL (<environment>.tenable.ad) にアクセスする際に、Tenable Identity Exposure ユーザーインターフェースが 2 回読み込まれることがなくなりました。 |
| Tenable Identity Exposure は、露出インジケーターページに関連するアクセス許可の動作をアップデートしました。 |
| Tenable Identity Exposure は、小規模な SaaS プラットフォーム上で SQL クエリが無期限に実行されるのを防ぐ機能を強化し、信頼性の高いデータベースアクセスを確保しました。 |
| Tenable Identity Exposure で、Entra ID のすべての IoE が IoE ペインに表示されるようになりました。 |
| Tenable Identity Exposure は、パスワードスプレー攻撃インジケーター (および他の IoA) による誤検出を修正しました。 |
| 一部のエッジケースで、Tenable Identity Exposure はドメイン参加マシンのセキュアリレーのインストールプロセスを変更しました。ドメイン管理者アカウントを使用しているお客様には、代わりにローカル管理者アカウントの使用を促すプロンプトが表示されるようになりました。 |
| Tenable Identity Exposure で、リレーの起動時にリレーとプラットフォーム間のネットワークチェックを実行するメカニズムが導入されました。プラットフォームがまだ動作していない場合、接続が安定するのを待ってからリレー起動プロセスが続行されます。 |
| Tenable One ライセンスを所有している場合、ユーザーの作成は Tenable Vulnerability Management で行われ、Tenable Identity Exposure に伝播されます。この場合、Tenable Identity Exposure で [ユーザーの作成] ボタンをクリックすると、Tenable Vulnerability Management にリダイレクトしてユーザーを作成するメッセージが表示されます。 |
| Tenable Identity Exposure インストーラーがローカライズバージョンで正しく動作するようになりました。 |
| Tenable Identity Exposure のメジャーアップグレード中に、古い .NET バージョンがアンインストールされます。 |
| シャドウ認証情報 IoE が、孤立している鍵認証情報の誤検出を適切に処理するようになりました。 |
| Tenable Identity Exposure は、NTDS 抽出 IoA のログの問題を解決し、すべてのシナリオで正しく機能するようになりました。 |
| パスワード推測 IoA に新しい [検知時間間隔] オプションが追加されました。以前はパスワードスプレー IoA を誤って参照していました。 |
| 認証情報のダンプ: LSASS メモリ IoA で、基本モードの拒否リストフィルタリングが改善されました。 |
| ゴールデンチケット IoA を最適化して、以前は 1 時間以上続いていた IoA と IoE 分析の一時停止を排除しました。 |
| ゴールデンチケット IoA の検出アルゴリズムが強化され、誤検出や検出漏れが減りました。 |
| Tenable Identity Exposure は、小規模な SaaS プラットフォーム上で SQL クエリが無期限に実行されるのを防ぐ機能を強化し、信頼性の高いデータベースアクセスを確保しました。 |
| 公開 API エンドポイント /export/profile/:profileId/checkers/:checkerId が、オプションなしで正しく動作するようになりました。 |
| インストールまたはアップグレード後、C:\Tenable\Logs で MSI ログファイルにアクセスできるようになりました。 |
ソフトウェア依存関係のアップデート
| ソフトウェア名 | アップグレード前 | アップグレード前 | アップグレード後 |
|---|---|---|---|
| Tenable Identity Exposure | 3.42.19 | 3.59.6 | 3.77 |
| C++ 2015-2019 再頒布可能パッケージ | 14.40.33810.0 | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.28 | 6.0.32 | 8.0.8 |
| .NET Runtime | 6.0.28 | 6.0.32 | 8.0.8 |
| .Net Core | 6.0.28 | 6.0.32 | 8.0.8 |
| ASP.NET Core | 6.0.28 | 6.0.32 | 8.0.8 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 | 3.0.5311 |
| NodeJS | 18.20.3 | 20.14.0 | 20.17.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.2 | 26.2.5.3 |
| Rabbit MQ | 3.12.14 | 3.13.6 | 3.12.14 (ダウングレード) |
| SQL Server | 15.0.4385.2 | 15.0.4385.2 | 15.0.4385.2 |
| OpenSSL | 1.1t | 3.3.0 | 3.3.2 |
| Envoy | -- | 1.29.5 | 1.29.7 |
| Handle | 5.0.0 | 5.0.0 | 5.0.0 |
| Curl | 8.91 | 8.9.1 | 8.10.1 |
Tenable Identity Exposure 3.59.7 (2024 年 8 月 14 日)
バグ修正
Tenable Identity Exposure バージョン 3.59.7 には、以下のバグ修正が含まれています。
| バグ修正 |
|---|
| Windows サーバーでプロキシが変更されると、.NET コンポーネントは接続を解除するのではなく、いったん閉じてから再度開くようになりました。 |
| ディレクトリリスナーとリレー間のスレッド数が急増する特定の状況が発生しても、これら 2 つのサービス間の接続が失われることはなくなりました。 |
| 登録リスナーは、アカウントの samaccountname のスペースを処理できるようになりました。 |
ソフトウェア依存関係のアップデート
| ソフトウェア名 | アップグレード前 | アップグレード後 |
|---|---|---|
| Tenable Identity Exposure | 3.59.6 | 3.59.7 |
| C++ 2015-2019 再頒布可能パッケージ | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.32 | 6.0.32 |
| .NET Runtime | 6.0.32 | 6.0.32 |
| .Net Core | 6.0.32 | 6.0.32 |
| ASP.NET Core | 6.0.32 | 6.0.32 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.14.0 |
| Erlang OTP | 26.2.5.2 | 26.2.5.2 |
| Rabbit MQ | 3.13.6 | 3.13.6 |
| SQL Server | 15.0.4375.4 | 15.0.4385.2 |
| OpenSSL | 3.3.0 | 3.3.0 |
| Envoy | 1.29.5 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.7.1 | 8.9.1 |
Tenable Identity Exposure 3.42.19 (2024 年 8 月 14 日)
バグ修正
Tenable Identity Exposure バージョン 3.42.19 には、以下のバグ修正が含まれています。
| バグ修正 |
|---|
| Tenable Identity Exposure は、SQL インジェクション攻撃に対するイベントフローのクエリエンジンを強化し、ユーザーが悪用してデータベースをダンプするリスクを大幅に低減しました。 |
| Windows 2000 以前と互換性のあるアクセス制御を使用するアカウントの IoE の逸脱修正が、正しく表示されるようになりました。 |
|
認証情報のダンプ: LSASS メモリ攻撃インジケーター — 未知の数を減らすために、この IoA の攻撃経路のプロセス名の相関が変更されました。 |
| 新しいメカニズムにより、badPwdCount 属性の変更が多すぎる場合のデータベースの回復力が確保されるようになりました。特定のエッジケースでは、不適切なパスワードカウントイベントのレートを管理するサービスが、メッセージキューマネージャーから接続解除され、イベント処理が中断する原因となっていました。 |
ソフトウェア依存関係のアップデート
| ソフトウェア名 | アップグレード前 | アップグレード後 |
|---|---|---|
| Tenable Identity Exposure | 3.42.18 | 3.42.19 |
| cUrl | 8.4.0 | 8.91 |
| SysInternals Handle | 5.0 | 5.0.0 |
| IIS URL Rewrite Module 2 | 7.2.1993 | 7.2.1993 |
|
.net Runtime |
6.0.28 6.0.28 |
6.0.32 6.0.32 |
| NodeJS | 18.19.1 | 18.20.3 |
| MSSQL | 15.0.4355.3 | 15.0.4385.2 |
| RabbitMQ | 3.12.13 | 3.12.14 |
| Erlang OTP | 26.2.3 | 26.2.5.2 |
| OpenSSL (変更なし) | 1.1.1t | 1.1.1t |
| C++ 2105-2022 再頒布可能パッケージ (変更なし) | 14.38.33130.0 | 14.40.33810.0 |
| ASP.NET Core | 6.0.28 | 6.0.32 |
Tenable Identity Exposure 3.59.6 (2024 年 8 月 5 日)
バグ修正
Tenable Identity Exposure バージョン 3.59.6 には、以下のバグ修正が含まれています。
| バグ修正 |
|---|
| セキュアリレーインストーラーは、現在のユーザーがローカル管理者であるかどうかをチェックするようになりました。 |
| ドメインに参加しているマシンにセキュアリレーをインストールする際にドメイン管理者アカウントが使用されている場合、ローカル管理者アカウントを使用するように指示するポップアップメッセージが表示されます。 |
| セキュリティ分析サービス (Cygni) をホストしているマシンでのプロキシの変更によって、デッドロックが発生することがなくなりました。 |
ソフトウェア依存関係のアップデート
| ソフトウェア名 | アップグレード前 | アップグレード後 |
|---|---|---|
| Tenable Identity Exposure | 3.59.5 | 3.59.6 |
| C++ 2015-2019 再頒布可能パッケージ | 14.40.33810.0 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.31 | 6.0.32 |
| .NET Runtime | 6.0.31 | 6.0.32 |
| .Net Core | 6.0.31 | 6.0.32 |
| ASP.NET Core | 6.0.31 | 6.0.32 |
| IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.5311 | 3.0.5311 |
| NodeJS | 20.14.0 | 20.14.0 |
| Erlang OTP | 26.2.5 | 26.2.5.2 |
| Rabbit MQ | 3.13.3 | 3.13.6 |
| SQL Server | 15.0.4375.4 | 15.0.4375.4 |
| OpenSSL | 3.3.0 | 3.3.0 |
| Envoy | 1.29.5 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.7.1 | 8.7.1 |
Tenable Identity Exposure 3.59.5 (2024 年 7 月 2 日)
機能強化
-
OpenSSL 3.0 のサポート - このリリースでは、OpenSSL をバージョン 3.0.x にアップグレードしています。その結果、SHA1 で署名された X.509 証明書は、セキュリティレベル 1 以上では機能しなくなりました。TLS はセキュリティレベル 1 にデフォルト設定されています。このため、SHA1 署名の証明書は、サーバーまたはクライアントの認証で信頼されなくなります。
この変更に伴い、証明書をアップグレードする必要があります。証明書をアップデートせずにインストールを続行し OpenSSL 3.0 を使用すると、Tenable Identity Exposure インストーラーは以下のエラーメッセージを返し、修正方法を提案します。
-
詳細については、OpenSSL 3.0 のリリースノートを参照してください。
-
バージョン 3.59.5 にアップグレードするには、Tenable Identity Exposure ユーザーガイドのアップグレード要件と手順を参照してください。
バグ修正
Tenable Identity Exposure バージョン 3.59.5 には、以下のバグ修正が含まれています。
| バグ修正 |
|---|
| SAML 生成の Tenable 証明書は、SHA-256 暗号化で 4096 ビット (以前は 1024 ビット) の鍵サイズを使用するようになりました。 |
| セキュリティメカニズムが実装され、アカウントロックアウト中のユーザー列挙機能に対処しています。 |
| TLS 暗号化パッケージリストが更新され、Windows Server 2022 用の Azure ARC Update Manager との互換性が確保されています。 |
| Tenable Identity Exposure のアップグレードが失敗しても、セキュアリレーのインストールを続行できるようになりました。 |
| Windows 2000 以前と互換性のあるアクセス制御を使用するアカウントの露出インジケーターの逸脱修正策が、正しく表示されるようになりました。 |
| リレーにより、遅延のあるネットワークを介しても、信頼性の高い Syslog メッセージ配信が保証されるようになりました。 |
| 認証情報のダンプ: LSASS メモリ攻撃インジケーターの攻撃手法のプロセス名の相関が変更され、未知の数が減りました。 |
| 新しいメカニズムにより、badPwdCount 属性の変更が多すぎる場合のデータベースの回復力が確保されるようになりました。特定のエッジケースでは、不適切なパスワードカウントイベントのレートを管理するサービスが、メッセージキューマネージャーから接続解除され、イベント処理が中断する原因となっていました。 |
| ウェブアプリケーションで、LDAPS 認証などの TLS 接続や SMTPS などの検証に使用する ECC CA 証明書のアップロードがサポートされるようになりました。 |
| アクティビティログが、内部サービスアクティビティを報告しなくなりました。 |
| アップグレード失敗後のロールバックレジリエンスが強化され、環境変数が変更されないようになりました。 |
| リレーとプラットフォーム間の通信テスト中にインストーラーが失敗したときのエラーメッセージが強化され、より明確なガイダンスが提供されるようになりました。 |
| セキュアリレーのインストール: 潜在的なデフォルトのロールバックを回避するために、[プロキシ設定] 画面に空の編集可能なボックスが表示されます。 |
ソフトウェア依存関係のアップデート
| ソフトウェア名 | アップグレード前 | アップグレード後 |
|---|---|---|
| Tenable Identity Exposure | 3.59.4 | 3.59.5 |
| C++ 2015-2019 再頒布可能パッケージ | 14.24.28127.4 | 14.40.33810.0 |
| .NET Windows Server Hosting | 6.0.27 | 6.0.31 |
| .NET Runtime | 6.0.27 | 6.0.31 |
| ASP.NET Core | 6.0.27 | 6.0.31 |
| IIS URL Rewrite Module 2 | 7.21993 | 7.2.1993 |
| Application Request Routing 3.0 | 3.0.05311 | 3.0.5311 |
| NodeJS | 18.19.0 | 20.14.0 |
| Erlang OTP | 26.2.2 | 26.2.5 |
| Rabbit MQ | 3.12.12 | 3.13.3 |
| SQL Server | 15.0.4335.1 | 15.0.4375.4 |
| OpenSSL | 1.1.1t | 3.3.0 |
| Envoy | 1.29.4 | 1.29.5 |
| Handle | 5.0.0 | 5.0.0 |
| Curl | 8.4 | 8.7.1 |
Tenable Identity Exposure 3.59.4 (2024 年 2 月 20 日)
新機能
- セキュアリレー — Advanced Message Queuing Protocol (AMQP) の代わりに Transport Layer Security (TLS) を使用してネットワークから Tenable Identity Exposure に Active Directory データを転送する、新しい転送モードを導入しました。詳細については、インストールガイドのセキュアリレーを使用するためのアップグレードおよび管理ガイドのリレーを設定するを参照してください。
アラートと認証 — セキュアリレーは Syslog アラートと SMTP アラートをサポートします。詳細については、Tenable Identity Exposure 管理者ガイドのセキュアリレーを参照してください。
認証 - セキュアリレーを選択することで、LDAP 認証を設定できます。このリレーは LDAP サーバーに接続して、ユーザーを認証します。
アラート — Syslog および SMTP アラートが、セキュアリレーを通じてプライベートサーバーにアラートを送信できるようになりました。アラートを作成する際、セキュアリレープラットフォームはリレーの選択を求めます。リレーを設定し、ドメイン監視とアラートのいずれか、または両方に使用できます。
セキュアリレーを使用しており、既存のアラートがある場合、Tenable Identity Exposure 3.45 にアップデートすると自動的にリレーがアラートに割り当てられ、サービスを継続して利用できるようになっています。リレー仮想マシンネットワークルールに関する理由で、またはユーザー個人の好みに合わせて、このリレーを編集できます。
基本認証および認証されていない HTTP プロキシのサポート — ネットワークがディレクトリリスナーサーバーに到達するためにプロキシサーバーを必要とする場合、リレー機能は基本認証または認証なしの HTTP プロキシもサポートします。詳細については、Tenable Identity Exposure 管理者ガイドのセキュアリレーを参照してください。
- Entra ID サポート — この機能は、Tenable Identity Exposure の範囲を Active Directory に加えて Microsoft Entra ID (旧 Azure AD) に拡張します。以下は、Entra ID 内の脆弱性を特定するために利用可能になった、Entra ID に焦点を当てた新しい露出インジケーター (IoE) です。
既知のフェデレーションのバックドア — Microsoft Entra テナントは、外部ドメインとフェデレーションして、認証と承認のために別のドメインと信頼を確立することができます。企業はフェデレーションを使用して、Active Directory ユーザーの認証をオンプレミス Active Directory Federation Services (AD FS) に委任することができます(注意: この外部ドメインはActive Directory の「ドメイン」ではありません)。ただし、悪意のある攻撃者が Microsoft Entra ID で昇格された権限を取得した場合、独自のフェデレーションドメインを追加したり、既存のドメインを編集して独自のセカンダリ設定を追加したりすることで、このフェデレーション方式を悪用し、バックドアを作成する可能性があります。
認証情報を持つファーストパーティサービスプリンシパル — ファーストパーティサービスプリンシパル (エンタープライズアプリケーション) は、Microsoft に属するアプリケーションの登録時に含まれているものです。それらのほとんどは、セキュリティチェックの際に見過ごされがちな、Microsoft Entra ID の機密性の高いアクセス許可を持っています。攻撃者がこれを利用し認証情報を付加すると、誰にも知られることなくその権限の恩恵を受けられます。
AD と同期された特権 Entra アカウント (ハイブリッド) - ハイブリッドアカウント、特に、Entra ID で特権ロールを持つ Active Directory から同期されたアカウントをチェックします。これらのアカウントは、AD を侵害する攻撃者が Entra ID にピボットする可能性があるため、セキュリティリスクをもたらします。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。
テナントに影響を与える危険な API アクセス許可 — 一部の Microsoft API に対する特定のアクセス許可は、Microsoft Entra テナント全体に深刻な脅威をもたらす可能性があります。これは、これらのアクセス許可を持つサービスプリンシパルが、グローバル管理者などの強力な管理者ロールを持つユーザーよりも密かに強力なユーザーになるためです。攻撃者はこれを悪用し、多要素認証 (MFA) をバイパスして、ユーザーパスワードのリセットを避けることができます。
特権アカウントに MFA がない — 多要素認証 (MFA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはそのメリットを受けることはできません。特権アカウントに登録された MFA 方式がない場合、この IoE は警告を発します。また、MFA 方式を登録していないアカウントが MFA を実行した場合も、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があるため、警告を発します。
非特権アカウントに MFA がない — 多要素認証 (MFA) は、弱いパスワードや漏洩したパスワードに対する強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはそのメリットを受けることはできません。非特権アカウントに登録された MFA 方式がない場合、この IoE は警告を発します。また、MFA 方式を登録していないアカウントが MFA を実行した場合も、パスワードを持つ攻撃者が独自の MFA 方式を登録し、セキュリティリスクを発生させる可能性があるため、警告を発します。
管理者数が多い — 定義上、管理者は高い権限を持っています。管理者が多いと、アタックサーフェスが拡大し、管理者の 1 人が侵害される確率が高まり、セキュリティリスクをもたらす可能性があります。特権を最小限に抑えるという原則が尊重されていない兆候でもあります。
- 新しい攻撃インジケーター (IoA)
-
DC パスワードの変更 - Zerologon に関連するこの新しい IoA は、攻撃者が Netlogon の脆弱性と組み合わせてよく使用する特定のエクスプロイト後のアクティビティ、つまりドメインコントローラーのマシンアカウントパスワードの変更にフォーカスしています。詳細については、Tenable Identity Exposure の攻撃インジケーターリファレンスガイドを参照してください。
-
Zerologon - 攻撃者が Zerologon の脆弱性を悪用してドメイン上で権限を取得しようとしていることを示す、Netlogon 認証プロセスの失敗を検出します。詳細については、Tenable Identity Exposure の攻撃インジケーターリファレンスガイドを参照してください。
-
ドメインのバックアップキー抽出 — LSA RPC 呼び出しを使用してバックアップキーにアクセスするさまざまな攻撃ツールを検出します。詳細については、Tenable Identity Exposure の攻撃インジケーターリファレンスガイドを参照してください。
-
-
露出インジケーター (IoE)
-
新しい IoE
-
安全でない動的 DNS ゾーンの更新が許可される — 動的 DNS ゾーンの更新の安全でない設定を特定します。安全でない設定があると、DNS レコードの不正な編集につながり、不正な DNS レコードに対して脆弱になる可能性があります。
-
プロパティセットの健全性 — AD スキーマ内のプロパティセットとその属性に存在する、設定ミスや悪意のある攻撃者のバックドアをチェックします。現在、プロパティセットの使用に関連する既知の公開されている攻撃経路はありませんが、この IoE は主に、この機能を使用するサードパーティ製品に起因する設定ミスや異常を特定することに重点を置いています。
-
WSUS の危険な設定ミス - Windows の更新をワークステーションとサーバーに展開する Microsoft 製品である、Windows Server Update Services (WSUS) をチェックし、標準のアカウントから管理者権限への昇格につながる設定が誤って設定されていないかどうかを確認します。
-
脆弱なパスワードの検出 - パスワードが堅牢であるかどうかをチェックし、Active Directory 認証でのセキュリティを確保します。脆弱なパスワードは、不十分な複雑度、旧式のハッシュアルゴリズム、共有されたパスワード、漏洩したデータベースでの露出などの要因から発生します。攻撃者は、これらの脆弱性を悪用して、アカウントの中でも特に権限のあるアカウントに偽装することで、Active Directory 内での認証されていないアクセスを可能にします。
-
DFS 設定ミス — SYSVOL が Distributed File System Replication (DFSR) を使用しているかどうかをチェックします。DFSR は、堅牢性、スケーラビリティ、レプリケーションパフォーマンスを向上させるために File Replication Service (FRS) と置き換えられたメカニズムです。
-
逸脱オブジェクトの除外: Tenable Identity Exposure は、選択した IoE で、以下を含む逸脱オブジェクトを除外できます。
-
グループ: 特権ユーザーのログオン制限
-
オペレーティングシステム: 廃止になった OS を実行しているコンピューター
-
組織単位: 特権ユーザーのログオン制限、廃止になった OS を実行しているコンピューター、ユーザーに対する弱いパスワードポリシーの適用、休止アカウント、古いパスワードを使用しているユーザーアカウント
-
-
IoE 分析 — オンプレミスユーザーは、デフォルトの Tenable セキュリティプロファイルで IoE 分析を無効にすることで、セキュリティ分析のリソース使用率を削減し、より低いレイテンシを達成できるようになりました。これを実装するには、セキュリティエンジンノード (SEN) の ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile 環境変数を true に設定して、Cygni サービスを再起動してください。
-
-
レポートセンター — この機能により、簡素化されたレポート作成プロセスを使用して、重要なデータをレポートとして組織の主要な関係者にエクスポートできます。詳細については、Tenable Identity Exposure 管理者ガイドの レポートセンターを参照してください。
-
ダッシュボードテンプレート — すぐに使用できるテンプレートは、コンプライアンス、リスク、パスワード管理、ユーザー/管理者の監視など、組織に関連する優先度の高い問題に集中するのに役立ちます。詳細については、Tenable Identity Exposure ユーザーガイドのダッシュボードを参照してください。
-
プラットフォームヘルスチェック機能 - Tenable Identity Exposure は、実行されたプラットフォームヘルスチェックを統合ビューに一覧表示します。これにより、設定異常を素早く調査して解決できます。詳細については、Tenable Identity Exposure 管理者ガイドの ヘルスチェックを参照してください。
- オンボーディング — セキュリティを強化するために、オンボーディングプロセスでは、ユーザーが初めてログインするときに、最初のログインで提供されるデフォルトの認証情報を変更することが必要になりました。Tenable Identity Exposure での新しいパスワードのルールも強化されました。
-
スケーラビリティ — Tenable Identity Exposure は、IoA の精度向上とレイテンシ改善のために、より大きなスケールで対象のイベントを処理できるように、サービス側の攻撃インジケーターのパフォーマンスを改善しました。詳細は、Tenable Identity Exposure インストールガイドの Tenable Identity Exposure サービスをスケーリングするを参照してください。
-
イベントフロー
-
Tenable Identity Exposure は、変更が発生するとすぐに Active Directory からイベントを受け取ります。ただし、大規模なグループで変更が高い頻度で発生する場合、イベントを 10 分間遅らせて集約し、システムの残りの部分に通知することで、パフォーマンスの問題を回避します。
-
日付と時刻の両方でイベントフローをフィルタリングできるようになりました。
-
バグ修正
Tenable Identity Exposure バージョン 3.59.4 には、バージョン 3.42 以降のすべてのバグ修正が含まれています。
ソフトウェア依存関係のアップデート
Tenable Identity Exposure オンプレミスバージョン 3.59.4 では、Active Directory インフラを保護するための重要な機能強化が導入されています。このリリースでは、ソフトウェアのセキュリティを優先し、コンポーネントを最新に保って保護を強化するため、特定の依存関係がアップデートされています。対象コンポーネントは次のとおりです。
-
ストレージマネージャー (SM)
-
セキュリティエンジンノード (SEN)
-
ディレクトリリスナー (DL)
| ソフトウェア名 | コンポーネント | アップグレード前のバージョン | アップグレード後のバージョン |
|---|---|---|---|
| Tenable Identity Exposure | 3.42 | 3.59 | |
| C++ 2015-2019 再頒布可能パッケージ | すべて (変更なし) | 14.24.28127.4 | 14.24.28127.4 |
| .NET Windows Server Hosting | SEN、DL | 6.0.22.23424 | 6.0.27 |
| .NET Runtime | SEN、DL | 6.0.22.32824 | 6.0.27 |
| ASP.NET Core | SEN、DL | 6.0.22.23424 | 6.0.27 |
| IIS URL Rewrite Module 2 | SEN (変更なし) | 7.2.1993 | 7.21993 |
| Application Request Routing 3.0 | SEN (変更なし) | 3.0.05311 | 3.0.05311 |
| NodeJS | SM、SEN | 18.18.0 | 18.19.0 |
| Erlang OTP | SEN | 26.1.1 | 26.2.2 |
| Rabbit MQ |
SEN |
3.12.6 | 3.12.12 |
| SQL Server | SM | 15.0.4322.2 | 15.0.4335.1 |
Tenable Identity Exposure 3.42.18 (2024 年 4 月 18 日)
新機能、バグ修正プログラム、パッチの全一覧については、Tenable Identity Exposure 3.42 (2023 年 4 月 6 日) オンプレミスリリースノートを参照してください。
パッチ 3.42.18 (2024 年 4 月 18 日)
Tenable Identity Exposure バージョン 3.42.18 には以下のパッチが含まれています。
| パッチ | 欠陥 ID |
|---|---|
| SAML 生成の Tenable 証明書は、従来の 1024 サイズを強化して、堅牢な 4096 SHA256 キーサイズを使用するようになりました。 | 該当なし |
|
攻撃経路に関する機能強化
|
該当なし |
| Tenable Identity Exposure は、Syslog アラート設定が変更された後も、CA 証明書を正しくリフレッシュするようになりました。 | 該当なし |
| Tenable Identity Exposure は、CSV ファイルの式要素 (一般に CSV インジェクションと呼ばれる) の中立化を適用するようになりました。 | 該当なし |
| ホスト名のない 4776 イベントを Tenable Identity Exposure が分析すると「不明な」ソースになる場合、パスワード推測の攻撃インジケーターの [不明なソースを許可する] オプションに応じて、適切にフィルターで除外されるようになりました。 | 該当なし |
|
DCSync 攻撃インジケーターの機能強化
|
該当なし |
| 攻撃インジケーターのイベントリスナーが、2016 より古いバージョンの Windows Server で再び実行できるようになりました。 | 該当なし |
| 新しいメカニズムにより、badPwdCount 属性が多数変更されてもデータベースの回復力が保証されています。 | 該当なし |
ソフトウェア依存関係のアップデート
Tenable Identity Exposure オンプレミスバージョン 3.42.11 では、Active Directory インフラを保護するための重要な機能強化が導入されています。このリリースでは、ソフトウェアのセキュリティを優先し、コンポーネントを最新に保って保護を強化するため、特定の依存関係がアップデートされています。
| Tenable Identity Exposure | バージョン 3.42.3 | バージョン 3.42.11 | バージョン 3.42.17 | バージョン 3.42.18 | |
|---|---|---|---|---|---|
| ソフトウェア名 | ファイル名 | バージョン | バージョン | バージョン | バージョン |
| cUrl | curl.exe | 7.66.0 | 8.0.1 | 8.4.0 | 8.4.0 |
| SysInternals Handle | handle.exe | 4.22.0 | 5.0.0 | 5.0 | 5.0 |
| IIS URL Rewrite Module 2 | rewrite_amd64_en-US.msi | 7.2.1980 | 7.2.1993 | 7.2.1993 | 7.2.1993 |
|
.net Runtime |
dotnet-hosting-6.0.14-win.exe | 6.0.14 | 6.0.16 |
6.0.22.32824 |
6.0.28 |
| NodeJS | node-x64.msi | 16.19.1 | 16.20.0 | 18.18.0 | 18.19.1 |
| MSSQL | setup.exe | 2019.150.2000.5 | 2019.150.4312.2 | 15.0.4322.2 | 15.0.4355.3 |
| RabbitMQ | rabbitmq-server.exe | 3.10.11 | 3.10.19 | 3.12.6 | 3.12.13 |
| Erlang OTP | otp_win64.exe | 25.1.2 | 25.1.2 | 26.1.1 | 26.2.3 |
| C++ 2105-2022 再頒布可能パッケージ (変更なし) | vcredist_2015_x64.exe | 14.24.28127.4 | 14.24.28127.4 | 14.24.28127.4 | 14.38.33130.0 |
| ASP.NET Core | dotnet-hosting-win.exe | 6.0.14 | 6.0.16 | 6.0.22.23424 | 6.0.28 |