バグレポート| 2022年11月

Like granny always said, “never hack on an empty stomach.

数多くの脆弱性と卓越したエクスプロイトに見舞われた1年もそろそろ終わりが見えてきました。今月のバグレポ―トも、過去30日間の最も重要なバグを素早く容易に理解できるリストとしてお届けします。11月は興味深い情報技術の宝庫でした。認識いただきたい最も重要なものをご紹介します。

OpenSSL 3.0の脆弱性は10月の最終週に発表され、この時点ではずっと前に起こったことのように感じられますが、11月1日になるまで公表されなかったため、先月のバグレポート(Spooky Edition)にはギリギリ入りませんでした。混乱させてしまったら申し訳ありません。


CVE-2022-3786 + CVE-2022-3602

OpenSSL 3.0の新たな「深刻な」脆弱性が10月最終週に発表され、1日に公開されました。CVE-2022-3786 と CVE-2022-3602は、それぞれ Viktor Dukhovni とPolar Bear (aka Sandbox Escaper) によって発見され、 X.509 証明書の検証処理にバッファオーバーフローが含まれることが判明しました。

対象

これは HeartBleed 2.0 と呼ばれるバグで、簡単に悪用され、機密情報の漏洩や、最悪の場合、被害者のマシンを完全に制御されてしまうのではないかと、誰もが恐怖を覚えるような脆弱性です。幸いなことに、これら2つのバグは、最新の緩和策により悪用は困難であることが判明し、証明書が信頼できる機関から発行されていること(または信頼エラーにもかかわらず検証プロセスが継続されること)が条件となりました。これらの要件により、脆弱性の深刻度は「Critical」から「High」に引き下げられました。しかし、これらは、OpenSSLが広く使われていることから、依然として重大なバグであり、多くの人がまだ影響を受けていない3.0より前のバージョンを使っているかもしれません。

対処法

Phil Swift asks that you patch ASAP
フィル・スウィフトのお願い:早急なパッチ適用を

OpenSSL.orgより:OpenSSL 3.0.0 – 3.0.6 のユーザは、できるだけ早く 3.0.7 にアップグレードすることが推奨されます。OpenSSL のコピーを OS ベンダやその他のサードパーティから入手している場合は、できるだけ早くそのベンダーから更新版を入手するようにしてください。


CVE-2022-40303 + CVE-2022-40304

Xmasシーズンに向けて、新たなXML脆弱性がいくつか発見されました。Google Project Zero の Maddie Stone氏、Ned Williamson氏、Nathan Wachholz氏が、 GNOME 用に開発された XML パーサー libxml2 に複数の脆弱性を発見しました。 Maddie Stone氏が関数xmlParseNameComplex(CVE-2022-40303)に整数値のオーバーフローを発見し、 0x80000000 バイト以上の名前を含むことで引き起こされる可能性があることを指摘しました。このクラッシュを再現するサンプルファイルは、非常に簡単に作成することができます。

python3 -c'print("<!DOCTYPE doc [)<!ATTLIST src " + "a "*(0x80000000) + " IDREF #IMPLIED>")'.> name_big.xml

CVE-2022-40304 も libxml2 の脆弱性ですが、dicts の実体参照サイクルが不適切に処理されるため、メモリ破壊が発生します。このバグに対する修正のコミットメッセージは以下の通りです。「実体参照サイクルが検出されると、その最初のバイトをゼロにすることで、 実体コンテンツがクリアされます。しかし、エンティティコンテンツはdictから割り当てられるかもしれません。この場合、dictのエントリーが破損し、ダブルフリーのようなメモリーエラーを含むあらゆる種類のロジックエラーにつながります。」

対象

上記の問題は、libxml2がWebkitを含む多くのアプリケーションで使用されているため、攻撃者にとって魅力的な標的となる可能性があり、Appleはこれらの問題に対応するため、MacOS 13.0.1およびiOS 16.1.1をリリースしました。心配なことに、これらの脆弱性は、攻撃者が管理するXMLドキュメントを解析する過程で、任意のコードを実行される可能性があります。CVE-2022-40303では、2GB以上のファイルをパースする必要があるため、脆弱性が生じるにはライブラリの「XML_PARSE_HUGE」オプションが有効であることが必要ですが、参照サイクルの問題にはそのような要件がありません。

対処法

開発者は、libxml2を この脆弱性を修正したバージョン 2.10.3 にアップデートする必要があります。また、MacOS 13.0.1およびiOS 16.1.1にアップデートすることで、これらのプラットフォームにおける脆弱性に対処する必要があります。


CVE-2022-41622 + CVE-2022-41800

Rapid 7は、F5 BIG-IPとiControlにリモートコード実行(RCE)につながる2つの脆弱性を発見しました。 CVE-2022-41622は、認証されないRCEにつながるCSRF(クロスサイトリクエストフォージェリー)の脆弱性です。この問題は、エンドポイント”/iControl/iControlPortal.cgi “がCSRFに対する保護を持っていなかったために存在します。このエンドポイントは、upload_fileや create_userの機能など、いくつかのAPIを提供しています。

一方、CVE-2022-41800 は、認証済み RCE を引き起こす可能性のある「RPM Spec Injection」の脆弱性で、「認証済み」という修飾語は、管理者専用ページに存在する脆弱性によるものです。認証された管理者セッションに細工されたJSONペイロードを含めることで、コマンドインジェクションを実行することが可能です。

対象

いずれの問題もリモートでコードが実行されることになりますが、最初の問題は、upload_fileAPIを使用してバイナリを仕込むことで、CSRFを使用して事前認証で悪用することができます。また、iControlPortal.cgi のスクリプトが setuid されることで、iControlPortal.cgi が起動した後、2分後に実行されます。さらに、iControlPortal.cgi スクリプトは setuid root であるため、create_userアクションで同じ脆弱性を悪用し、新しい root ユーザーを作成し、それを使用して SSH でログインすることが可能です。上記の両方のテクニックは、GitHub上のPoCで確認することができます。これらの脆弱性は深刻なものですが、Rapid7は、悪用されるために満たすべき要件が複数あるため、「今回の公開で問題が広く利用される可能性は低い」と主張しています。これらの要件には、制御インターフェースに認証されたセッションを持つユーザーをターゲットにすること、または既にサーバーに認証されたアクセス権を持っていることが含まれます。このことを考慮すると、影響を受けるユーザーは、夜遅くまでF5を叩いてパッチを待つ必要はないでしょう。

対処法

F5では、これらの公開に対して、脆弱性の限界を考慮した上でリスクを評価するようユーザーに求め、リクエストに応じてエンジニアリング・ホットフィックスを提供するとしています。なお、F5社は、これらの脆弱性が積極的に悪用された形跡はないと述べています。

本記事およびここに含まれる情報は、啓蒙目的およびTrellixの顧客の利便性のみを目的としてコンピュータ セキュリティの研究について説明しています。Trellixは、脆弱性合理的開示ポリシーに基づいて調査を実施しています。記載されている活動の一部または全部を再現する試みについては、ユーザーの責任において行われるものとし、Trellixおよびその関連会社はいかなる責任も負わないものとします

※本ページの内容は2022年12月7日(US時間)更新の以下のTrellix Storiesの内容です。
原文:The Bug Report — November 2022 Edition
著者:Austin Emmitt