毎月のバグレポートにまだ馴染みのない方のために、私たちの信頼するAdvanced Research Centerの脆弱性リサーチチームが毎月、1ヶ月分のバグをフィルタリングし、最もクリティカルなバグをお知らせします。
8月は4つのバグに注意を払う必要があります。このうち3つは活発に悪用されており、最後の1つはPOCコードが公開されています。
目次
CVE-2022-40982
CVE-2022-40982、別名ダウンフォールは、キャッチーな名前、独自のアイコン、そして公式ドメインを持っています。それは大きな問題である証拠になるはずです。常にそうとは限りませんが、今回は確かにそうなります。Daniel Moghimiという研究者が、インテルプロセッサーを標的にした2つの新しい攻撃手法を発見しました。Gather Data Sampling(GDS)とGather Value Injection(GVI)で、攻撃者はGather命令の投機的実行中に情報を引き出すことができます。これは基本的に、ユーザーが他のユーザーデータにアクセスするのを防ぐために設けられた、通常のOSやハードウェアの保護を回避するものです。
これは、仮想マシンだけでなく、インテルソフトウェアガードエクステンション(SGX)のような信頼されたコンピューティング環境の境界さえも越える可能性があり、クラウドコンピューティング環境(多くのユーザーが同じ物理ハードウェアを共有する環境)も影響を受けることを意味します。Moghimi氏は、このアプローチを使って、他の機密データの中でも128ビットや256ビットのAESキーのような情報を抽出できることを証明しました。彼は、その発見について論文を書き、さらに、自分で試してみたい人のためにPOCコードを公開しました。ただ、実験を実行する場所には注意してください。
対象
この脆弱性が致命的である理由は、ほぼすべてのインテルプロセッサーユーザーが影響を受けるからです。2014年以降にインテル搭載コンピューティングデバイスを購入した場合、ほぼ確実に脆弱性があります。インテルがサーバー分野で圧倒的なシェアを占めていることを考えると、利用しているウェブサービスやクラウドサービスも影響を受ける可能性が非常に高いです。アーミッシュの読者層を除けば、これを読んでいる人は何らかの形でこのバグにさらされていると思われます。現在のところ、このバグは実際に悪用されているわけではないですが(リストの他のバグとは異なる)、POCコードが利用可能であるという事実により、これが起こるのは時間の問題です。
対処法
インテルは、この脆弱性から身を守るために、直ちに最新のファームウェアにアップデートすることを推奨しており、弊社も同様に推奨します。ファームウェアのアップデートは最優先事項です。
CVE-2023-38831
盗むことができるのに、なぜ取引する必要があるのでしょうか。その理由をお話します。CVE-2023-38831エクスプロイトの背後にいる攻撃者がそうです。今年の4月以来、悪者はWinRARのこの脆弱性を悪用し、仮想通貨トレーダーや株式トレーダーから窃盗を行っています。被害者は、信頼できる古いWinRARで悪意のある.RARまたは.ZIPファイルを開き、JPEGやテキストファイルなどの一見無害なファイルをクリックするだけです。その後、このエクスプロイトによってスクリプトが起動し、システムに感染するための追加マルウェアがダウンロードされます。
対象
私たちが知る限り、このキャンペーンは4月から続いています。もしあなたがトレーダーで、WinRARの熱心なユーザーである場合、あなたのMetaMaskをチェックし、すべてがまだそこにあることを確認する必要があるかもしれません。GitHub上のこのPOCジェネレーターのようにPOCが出現しています。一般的に知られるようになったので、他のグループも標的にされることが予想されます。
対処法
WinRAR 6.23以降であることを確認してください。これにより、他の脆弱性にも対処できます。Trellixは、CVE-2023-38831悪用キャンペーンに関連するものを含む、既知のサンプルを停止させることができるため、セキュリティ製品を最新の状態に保ってください。一般的な習慣として、未知の、あるいは信頼できないソースからのファイル、特に圧縮ファイルを開くことには注意すべきです。ここでのポイントは、他人からのファイルを開く場合には注意することです。
CVE-2023-32315
5月、Igniteは同社のRealtime Openfireサーバーに影響を与える脆弱性CVE-2023-32315の詳細を発表しました。これは、管理コンソールに影響を与える非常に深刻なパストラバーサルバグで、悪意のある行為者にサーバーとOpenfireインフラへの管理者アクセスを許可するものでした。8月に入ると、新たな悪用が出回っているのではないかと疑われるような侵害の報告が再び増えています。
Igniteによると、答えは「ノー」です。それどころか、(私たちが毎月そう主張しているにもかかわらず)パッチ適用はそれほど重要ではないと判断した人たちがいて、事態は悪化しています。
公式の説明では、攻撃者が攻撃を自動化したため、今までにパッチを適用していなければ、危険にさらされている可能性が高いとのことです。このエクスプロイトのPOCを見つけるのがいかに簡単であったかを考えると、その結論に同意するでしょう。
対象
このサーバーのダウンロード数は900万を超え、現在も悪用が報告されていることから、Realtime Openfireサーバーをホスティングしている人は、バージョンを確認し、パッチが適用されていることを確認する必要があります。もしそうでなければ、危険にさらされていると考え、そこから先に進みましょう。パッチが適用されている場合は、古いパッチで問題が修正されたかどうかについて意見の相違があるようですので、この問題に注意してください。
対処方
公式アドバイザリーを読み、提案に従い、パッチが適用され、バージョン4.6.8、4.7.5、4.8.0、またはそれ以降であることを確認してください。自社でパブリック向けのサーバーをホスティングしている場合は、公式発表を注視し、パッチがあればできるだけ早く適用することが重要です。IPSが適切に設定され、アップデートされていることを確認することで、サーバーをアップデートできるまで保護することができます。特にTrellix IPSをご利用のお客様は、シグネチャ0x452D9700によってこの脆弱性がカバーされているため、安心してください。少し遅れてしまったかもしれませんが、私たちがサポートします。
CVE-2023-38035
データを保護するためのソフトウェアが、悪用可能なバグで終了するのは不幸なことです。開発は難しく、脆弱性は私たちに降りかかるものです。しかし、私たちはバグを潰すのが本業なので、いくつかのバグを潰しましょう。
SharePointやExchangeのようなエンタープライズリソースを保護するために設計されたインラインゲートウェイであるIvanti Sentryは、今月、CVE-2023-38035という複雑性の低い不適切な認証バイパスの脆弱性を利用した実際の攻撃を受けました。この脆弱性を悪用することで、攻撃者はサーバーの管理者権限とOSのルートアクセス権を得ることができます。ベンダーによると、この脆弱性を悪用できるエンドポイントのAPIは限られています。それでも、POCは少なくとも 5日間はこのエクスプロイトに利用可能であったため、他の攻撃者が悪用しようとすることが予想されます。
対象
Ivanti Sentryを実行していて、まだRPMスクリプトを実行していないのであれば、すぐに実行する必要があります。公式ナレッジベースにその方法の詳細が掲載されています。Ivantiは、脆弱性を悪用するためにエンドポイントからの限られた数のAPIしか使用できないと言及していますが、それらのリストを発見していません。いずれにせよ、上記のPOCと組み合わされた十分な技術的情報がここにあり、誰でも十分に調べることができます。自分のエンドポイントが影響を受ける機能を持っていると仮定し、パッチを適用する必要があります。
対処法
ナレッジベースにアクセスし、指示に従ってサーバー上でRPMを実行してください。完全にパッチが適用されたサーバには、9.16.0a、9.17.0a、9.18.0aのいずれかが割り当てられているはずです。残念ながら侵害の痕跡は公開されていないので、サーバーとネットワークのトラフィックに不審な点がないか確認し、そこから対処する必要あります。
※本ページの内容は2023年9月6日(US時間)更新の以下のTrellix Storiesの内容です。
原文: The Bug Report – August 2023 Edition
著者: Charles McFarland