バグレポート| 2023年4月

戻るのは決して簡単ではありません。

南国で休暇を取るべきなのかもしれません。情報漏えい、重大な脆弱性、侵入と騒ぐサイバーワールドに戻るのは嫌なものです。4月初めに3CXがサプライチェーン攻撃でニュースになり、Genova Burns LLCの侵害でUberのドライバーデータが盗まれ、今度はMSIが侵害されました。しかし、心配は無用です。Trellix Advanced Research Centerが、違法行為やコンテンツを扱う最大のオンライン市場の1つを潰すのに貢献したように、悲観的なことばかりではないのです。

バグレポートでは、毎月のトップクラスの脆弱性についての詳細、対象、対処法についての疑問にお答えします。では約束通り、今月の欠陥バグのリストをご紹介します。


CVE-2023-28205

GoogleのClément Lecigneは、Apple関連のCVEで上り調子のようで、わずか2年で3件目の大きな発見となりました。この脆弱性は、Safari、iOS、iPadOS、macOSでオンラインコンテンツのレンダリングに使用されるブラウザエンジンであるWebkitのuse-after-freeです。この脆弱性には、JavaScriptペイロードを埋め込んだ悪意のあるHTMLページを介して発生し、昇格した権限で任意のコードを実行される可能性があります。

対象

iOS、iPadOS、Safari、macOSを搭載した幅広いデバイスに脆弱性があり、Appleの顧客の大半は気になるようです。パッチが適用された脆弱な製品の中にiPod Touchが含まれていることに驚かれるかもしれません。

私は年をとっています。

なお、このバグをAppleに報告した研究者は、このバグが実際に使用されているのを発見したようですが、彼らもAppleもこの悪用の性質に関する詳細をまだ公開していません。

対処法

ありがたいことに、AppleはiOS、iPadOS、Safariのバージョン15.7.516.4.1macOS Ventura 13.3.1のリリースでこの脆弱性のパッチをすでに適用しています。Appleのデバイスをアップデートする方法を知らずにここまで来てしまった場合、Appleはモバイルデスクトップの両方で、アップデートの方法に関するサポートページを提供しています。


CVE-2023-29389

トヨタは自社の車両が、CANバス経由で他のECUからのメッセージを自動的に信用しないようにすることはできないのでしょうか。というのも、2021年型トヨタRAV4(および他の車種でも可能性あり、下記参照)でこの種の攻撃を行うことができるからです。バンパー裏のヘッドライトコネクターにアクセスし、CANインジェクションで「Key is validated」のメッセージを送信するだけで、車両を制御できるようになります。

これは、販売員がキーレス エントリーがあると私に言ったとき、私が念頭に置いていたことではありません。

Canis Automotive LabsのCTOであるKen Tindellと彼の友人であるIan Taborは、IanのRAV4が、昨年7月に路上で盗まれた後にこの脆弱性を発見しました。Kenはブログで、CVEの説明では脆弱な製品として2021年型トヨタRAV4が明示されているが、「これはトヨタに限ったことではない」と指摘しています。Ianが調査したのは、盗まれた車がRAV4だったからで、他のメーカーにも同様の方法で盗まれる車種はあると述べています。実際、彼らが脆弱性を発見するためにリバースエンジニアリングした盗難装置は、「ES、LC、LS、NX、RXを含むレクサスモデルとGRスープラ、プリウス、ハイランダー、ランドクルーザー – そしてRAV4などのトヨタモデル 」だと主張しています。

対象

2021 年、トヨタは米国だけで407,739台のRAV4を販売しました。車のリリースサイクルがどのように実装されているかを考えると、これらのすべてが 2021 年モデルであるとは考えられないかもしれませんが、CANインジェクションハイジャックに対して脆弱である可能性がある車は依然としてかなりの数です。この脆弱性が他のレクサスやトヨタのさまざまなモデルに影響を与えるというKen Tindellの主張を信じるなら、この数は数百万に上る可能性があります。この方法で車両に侵入する攻撃者は、公衆やドライバーの命を危険にさらす可能性があります。あるいは、それを使用して数分で路上から車のロックを解除して盗む可能性が高くなります。

対処法

現在、トヨタからパッチは提供されていません。トヨタからのパッチがない場合、おそらく最善の策は、夜間にRAV4を路上に放置することを避け、当分の間ガレージに駐車することでしょう。 路上に駐車する必要がある場合は、車上荒らしに狙われにくくするために、ステアリングロックを利用しましょう。


CVE-2023-28252

最近、脆弱性のターゲットになりがちなCommon Log File System (CLFS)のWindowsドライバーで見つかったゼロデイに遭遇しました。CLFSは、カーネルとユーザースペースアプリケーションの両方が利用するサブシステムで、特に、トランザクションをベースログファイルの形でディスクに記録するために利用されています。

CVE-2023-28252は、ベースログファイルのフィールドを改ざんし、ドライバがそれを処理する際に境界外書き込みを引き起こすことによって悪用される可能性があります。脆弱性が発動すると、攻撃者は公開されたカーネル構造を使って、システム特権で悪意のあるコードを実行することができます。

対象

自社の環境でWindowsを使用されているでしょうか。Windowsを実行する世界中の数十億台のデバイスの1つを所有している場合、脆弱な立場にあります。

公平を期すために、CLFSデータ構造は古く、2018年以来、いくつかの脆弱性が起因しています。このCVEに関する緊急の問題は、サイバー犯罪者がNokoyawaランサムウェアを展開するために実際に悪用されていることです。

ウォーク ウォーク。

対処法

この脆弱性が悪用されてランサムウェアが配信されている現状を鑑みると、早急にパッチを適用することが推奨されます。パッチの詳細はこちらでご確認ください。


CVE-2023-2033

GoogleのClément Lecigneは、AppleのWebkitに次々とバグを発見することに満足せず、Google ChromeやEdge、OperaなどのChromiumベースのブラウザで使用されているGoogle独自のV8 Javascriptエンジンに照準を合わせているようです。CVE-2023-2033は、V8における別のタイプの混乱したバグで、これは112.0.5616.121より前のChromeの全バージョンに影響します。長いので、APTの命名規則ではなく、バージョン番号でもう少し合理化できるかもしれません。

対象

Googleは、このCVEが実際に悪用されていることを認識していると述べています。したがって、この時点で、ほとんどの人が気にかけていると思います。私もそうしないようにしていたのですが、なんとなくまたGoogle Chromeを使用していることに気がつきました。実際、私は今、Chromeで1つのタブを持つウィンドウを安全に使用するために128GBのRAMを持っています。Firefoxが優れているとは限りません。私はプラグインをたくさん持っていたので、テラバイトのRAMを持つエンタープライズサーバーの1つに移行する必要がありました。

死は近い。

対処法

本脆弱性が悪用されていることが確認されているため、早急にパッチを適用することが最善策です。まずは、GoogleのChromeリリースを参照することから始めるとよいでしょう。Chromium Securityのページによると、これらのリリースはChromiumプロジェクトにも適用され、さらにはChrome以外のChromiumベースのブラウザーにも適用されます。


※本ページの内容は2023年5月3日(US時間)更新の以下のTrellix Storiesの内容です。
原文:
The Bug Report – April 2023 Edition
著者:John Rodriguez