バグレポート| 2023年6月

毎月、私たちは過去30日あまりの情報セキュリティビジネスにおける重大なニュースを記録しています。
主要な脆弱性の低下や、私たちが貴重なデータのセキュリティを委ねているプラットフォームが、しばし
MiG-25相当するソフトウェアであることを思い起こさせるような出来事が起こっています。

このような脆弱性のニュースをお届けしたのが、私が初めてでないことを心から願っています。


CVE-2023-20887

脆弱性研究者として、新しい標的を見つけるときの最初のステップは、開発者側の単純なミス、つまり開発者側の単純な間違いを探すことです。ソフトウェア内のコマンドインジェクションの脆弱性の可能性がある場所は、比較的簡単に特定できます。CVE-2023-20887はまさにそのような脆弱性です。基本的なOSコマンドインジェクションは依然として存続しており、多くの場合重大度が高く、今月のバグレポートでは多数の機能が停止されています。

影響を受ける製品は、「Aria Operations for Networks」(略して「AOfN」)というぎこちない名前の製品ですが、旧名称の「vRealize Network Insight」でご存知の方も多いでしょう。要するに、AOfNはVMwareが販売するクラウドインフラとネットワーク用のモニタリングツールです。このアプリケーションはnginxを活用してWebコンテンツを提供し、すべてのRPC通信をバックエンドのApache Thriftサーバーにプロキシします。この後者のコンポーネントに脆弱性があります。

CVE-2023-20887を悪用するには、攻撃者は注入するコマンドをRPCリクエスト本体に埋め込み、nginx Webサーバーの設定ミスを利用して、悪意のあるリクエストを脆弱なThriftバックエンドに直接転送します。これは開発者が、Thriftサーバーが内部接続(127.0.0.1)だけを受け入れるように強制することで、明らかに不可能にすることを意図している動作です。注入されたコマンドは、sudo ls -tp %s/sb.%s.%s*.tar.gz | …というフォーマット文字列にドロップされ、恐ろしいプロセススポーン関数を介して即座に実行されます。好奇心旺盛な(そしてJavaコードに不快感を抱かない)人のために、発見した研究者であるSina Kheirkhahが書いた簡潔なブログに、彼の根本原因解析と概念実証スクリプトを含むすべての詳細が掲載されています。

対象

もしあなたの組織がVMwareの顧客で、クラウドモニタリングのニーズにAOfNを使用しているのであれば、十分に注意する必要があります。侵害されたAOfNインスタンスの影響は、脆弱なアプリケーションから見えるすべてのホストが露出され、攻撃者がビジネスクリティカルなリソースに集中する機会を与えることです。さらに、CVE-2023-20887を悪用するのは非常に簡単です。ご自身の目で確かめてください。このコードは公開されており、上にリンクされています。

CVE-2023-20887の実際の悪用は、遅くとも6月19日にはVMware内部で確認され、23日にはCISAによって認められました。この脆弱性を悪用することで、攻撃者は事前の認証なしで持続的に攻撃することができます。

対処法

あなたの管轄下にあるバージョン6.10、またはそれ以前のAOfNインスタンスを直ちにアップデートしてください。そのために必要なすべての指示とファイルは、ここにあります。これが必須のアクションアイテムになります。もしあなたがVMwareの顧客で、危険にさらされているかもしれないと疑っている、あるいは単に大丈夫だという安心感を求めているのなら、その衝撃を和らげられるかもしれない2つの情報を提供します。第一に、このソフトウェアアプリケーションはLinux VM内で実行され、この脆弱性によって攻撃者がゲストからホストにジャンプできることを示唆する公的証拠がまだないという事実は、ある種の救いとなります。第二に、ITプロフェッショナルであれば、AOfNインスタンスをファイアウォールの背後に隠し、広範なインターネットには公開せず、少なくともリモート攻撃からの防御層を提供しているでしょう。

そうでない場合は、重要なアクションアイテムその2に移ります。システム管理者に、すべてのリモート管理アプリケーションを組織のセキュアなイントラネット内に移動するように指示します。この記事の執筆時点では、侵害の具体的な兆候は公表されていません。しかし、特にネットワークへの事前侵入が疑われる場合は、引き続きチェックすることをお勧めします。


CVE-2023-27997

CVE-2023-27997は、FortiOSおよびFortiProxyのSSL VPNコンポーネントにおけるヒープベースのバッファオーバーフローを指し、2つのFortinetのテクノロジーの間で、めまぐるしい数のバージョンに影響を及ぼします。攻撃者は、連続するHTTPリクエストを巧妙に編成することで、この脆弱性を利用し、完全に認証されていないシナリオでリモートでコードを実行することができます。VPNコンポーネントのWebインターフェース(設計上、インターネットに接続している)に前述のリクエストを送信することで、攻撃者はヒープで割り当てられたバッファの末尾を超えて任意のデータを書き込むことができます。このコンポーネントはPIE(Position Independent Executable)としてビルドされていないので、このプリミティブを利用することで、SSLハンドシェイクに使われるような、攻撃者が確実に実行できるコールバックハンドラの関数ポインタを上書きするという、本で最も古いトリックの1つを実現することができます。基本的なバイナリーハードニングがないことが、このエラーの喜劇における本当のVIPであるのは、攻撃者は新たに発見した実行制御を使用して、リモートシェルに到達するROPを実行できるからです。

CVE-2023-27997を悪用するのは実際には簡単かもしれませんが、その背後にある理論は決してそうではありません。このエクスプロイトを深く理解したい人のために、CVE-2023-27997を公開した研究者たちが、その方法をエレガンスと美的ミニマリズムで詳述した素晴らしい技術的なブログを書いているので、ここに敬意を表します。前述のブログの最後の行に注目して、このサブセクションを閉じたいと思います。「しかし、2019年から今日までに発見された脆弱性の数と質を考慮すると、彼らがアプライアンスに対して適切なセキュリティ評価を行ったかどうか、私たちは依然として疑問を抱いています。」これは私が今年見た中で最も痛烈な同僚同士の揶揄であり、ほぼ間違いなく正確です。

対象

さて、Fortinetの製品が依然として業界で人気があることを考えると、多くの人はこの件について十分に関心があり、迅速に対応するでしょう。より具体的に説明すると、6senseFortinetの市場シェアをネットワーキングハードウェアベンダーの中で3位の6.8%としており、Fortinetに依存している企業は数万社に上ります。そして、それらの企業の多くはすでに標的にされているようです。6月12日には、実際の悪用の報告が相次ぎ、翌日にはCVE-2023-27997がCISAの悪質なリストに追加されました。

おそらく、これを真剣に受け止める良い議論は、これらの製品がエンタープライズ環境内に配置されていることです。例えば、影響を受ける製品であるFortigate VPNは、本質的にエッジデバイスであり、保護されたシステムの防御の第一線として機能します。言い換えれば、CVE-2023-27997は、データの流出、ランサムウェアのインストール、またはさまざまな手段により混乱を引き起こそうとする攻撃者にとって、インフラストラクチャへの最初の侵入ポイントとなる可能性があります。言い換えれば、リスクは非常に高いということです。

対処法

面白いことに、Fortinetは回避策として「SSL-VPNを無効にする」ことを提案しました。 つまり、確かにそれで解決するのですが、ユースケースによっては、そもそも影響を受けるデバイスを使う意味がなくなってしまうかもしれません。より現実的で明白な答えは、アップデートです。Fortinetは、自社の脆弱性公開に先駆けてセキュリティパッチをリリースする傾向があるため、システム管理者がクリティカルなCVEを把握していれば、すでにカバーされているかもしれません。とはいえ、信頼はしても検証は怠らず、ベンダーが発行するPSIRTアドバイザリの末尾に、脆弱性とパッチを適用したバージョンを網羅したリストが記載されているので、すぐにそれを参照し、使用しているFortinet製品との相互参照を行ってください。


CVE-2023-34362

この脆弱性が発生したのは5月31日で、バグレポートの前回の記事には入れることができませんでした。そのため、今回はそのCVE-2023-34362を、最後にお届けします。

ここでわかっているのは、Progress が管理するエンタープライズファイル共有ソフトウェアで、MOVEit Transferおよび、MOVEit Cloudの背後にあるWebアプリケーションにある、古き良きSQLインジェクションの脆弱性で、認証されていないリモートコードの実行につながる可能性があります (そして実際に引き起こされてきました) 前述の通り、悪用は SQLインジェクションから始まり、それ自体が壊滅的な被害をもたらす可能性があります。攻撃者は、DROP DATBASE … ディレクティブを発行しない限り、内部データベースのスキーマに関する情報を取得し、重要なレコードを意のままに破損することができます。

しかし、これはCVE-2023-34362の話のほんの一部にすぎません。この脆弱性の最もインパクトのある悪用(下記参照)は、SQLインジェクションを活用して管理者特権を与える「有効な」APIトークンを取得し、この昇格したアクセスを使ってNETのデシリアライゼーションの脆弱性を悪用することです。CVE-2023-34362の純粋に技術的な側面については、まだ言いたいことがたくさんあります。Horizon3.aiの皆さんのご好意により、広範な根本原因分析、エクスプロイトの内訳、およびエクスプロイト後の楽しみが、ここで入手可能です。

対象

組織がMOVEit Transfer/Cloudをクラウド内外で使用している場合、例えるなら、家が火事になり、覆面をした男たちが家族の宝石を持ち去ろうとしています。あらゆる大企業にとって最大のセキュリティ上の悪夢はランサムウェア攻撃の成功であり、入手可能な証拠はすべて、CVE-2023-34362がまさにそのような目的で使用されていることを示しています。最も重要なことは、あらゆる主要なセクターや業界にわたる大企業や機関に影響を与えたことで知られているランサムウェアのファミリーであるCL0Pの派生版を配信するために使用されていることです。その例は、適切な小見出しの下に掲載されています。

この脆弱性の深刻さを強調するかのように、Krollの6月8日付けのレポートでは、独自のフォレンジック分析に基づき、CL0Pの背後にいる攻撃者は、2021年の早い段階からこの特定の侵入について調べ始めていたことが示唆されています。要するに、この脆弱性の犯罪的悪用は、今年の5月まで未確認で改善策もないまま、かなり以前から発生していたのであり、相応の深刻さをもって対処する必要があります。

対処法

壊れたレコードのように聞こえるかもしれませんが、アップデートしてください。Progressのその手順については、こちらのリンクを参照してください。アップデートを行った後、読み進めてください。作業はまだ完了していません。実環境で悪用されているすべての脆弱性に関連して、インフラ内で事前に侵害の兆候をチェックすることは常に賢明ですが、CVE-2023-34362の場合、武器化されている頻度と期間を考えると、この対策は特に重要です。

5月31日に掲載されたセキュリティ通知で、Progressは顧客に対し、過去30日以内にアクセス違反の証拠がないかシステムログを精査するよう顧客にアドバイスしました。スキャン業界の友人であるGreyNoiseは、この期間を6月1日の90日前まで延長することを推奨しています。CISAは、YARAルールを含む検出方法のコンパイルと、既知のランサムウェアキャンペーンに関連するIOCの広範なリストをリリースしました。ぜひご活用ください。

※本ページの内容は2023年7月5日(US時間)更新の以下のTrellix Storiesの内容です。
原文: The Bug Report – June 2023 Edition
著者: Jesse Chick