バグレポート| 2021年11月

緊迫したサイバーセキュリティ対応の合間に

Your Cybersecurity Comic Relief 

CVE-2021-20322: また、DNSが…

Advanced Threat Researchチームの月例バグレポートにようこそ。2021年11月の約30日間に発生した最新の驚異的な脆弱性を、「CVSS > 9.0」のNVDの分類に少しニュアンスを付け加え、役立つダイジェストにまとめました。業界経験値トータル100年超のチーム全員が、経験に基づく質の高い分析をお届けすることに注力します。

先月のレポートを読んだ方、趣を変えて新しくなる以前の旧式のバグレポートからの愛読者の方、またベテランの方にこそ、目を見張るような脆弱性の増加に注目しながら、これからも末永くお付き合いいただきたいと思います。


PAN GlobalProtect VPN: CVE-2021-3064 

PAN(Palo Alto Networks)のファイアウォールのうちGlobalProtect Portal VPN を使用しているPAN-OS 8.1.17以前のバージョンにおいて、スタックベースのバッファオーバーフローと呼ばれる新しい脆弱性があります。 RandorAttack Teamの研究者によれば 、脆弱なコードは通常は到達できないのですが、HTTP smugglingの脆弱性と組み合わせた場合、CVE-2021-3064を利用してリモートコードの実行、リモートシェル、機密設定データへのアクセスまでもが可能になります。Randoriがこの脆弱性を発見したのは1年以上も前のことですが、今年の9月までPANにしばらく開示しないまま「continuous and automated red team platform」の一部として利用していました。PANはこの脆弱性が古くから存在しているにもかかわらず、security advisoryで、悪用されている証拠がないと主張しています。

対象:

実際の脆弱性が発見されていないことはさておき、心配すべき人の数が急速に減っているのは良いことです(2021年の共通テーマです)。Randoriは当初、Shodanによるとインターネットからアクセス可能なPANファイアウォールが使われている脆弱なバージョンのPAN-OSは7万台以上だと報告していましたが、後に1万台に修正しました。この記事を書いている時点で、約7,000に減少しています。それでも、7,000台が脆弱なファイアウォールを搭載しているということは、ゼロ認証を必要とするインターネット上の攻撃ベクトルのリスクにさらされている数がそれより多いということになります。VM上で動作しているPANファイアウォールに接続している場合は ASLRがないため、さらに大きな懸念があります。

対処法:

上記のShodanのリンクから検索結果を開き、脆弱なバージョンのPAN-OSを実行しているデバイスの総数を記録します。次に、ファイアウォールの電源を切って再度Shodanのスキャン結果、数が減っていれば、おそらくアップデートが必要な時期がきています。もしあなたがArchユーザーで、アップデートに恐怖を感じるのであれば、Palo AltUnique Threat ID91820、91855 のシグネチャがCVE-2021-3064の悪用をブロックすることを示します。

模範的な対応:

常に最新のCVEを把握しましょう。製品セキュリティ情報が、あらゆる種類の重要な脆弱性に対する製品情報を見つける素晴らしいリソースとなります。


Linux Kernel: CVE-2021-20322 

カリフォルニア大学リバーサイド校の研究者が、Linux カーネルの「ICMP fragment needed」および「ICMP redirect」エラーの処理方法に欠陥があることを発見しました。つまり、攻撃者がUDPソケットに割り当てられたランダムなポート番号をあっという間に知ることができます。説明がなかったことが、この脆弱性に大きな影響を与えました。今では伝説となっているDNSキャッシュポイズニング攻撃のサイドチャネルとして使用されます。オフパスにいる悪意のあるアクターがDNSリゾルバのキャッシュを偽のレコードで「汚染」し、既知のドメイン(google.com)を任意のIPアドレス(98.136.144.138)にマッピングするものです。本当に悪質な行為です。

対象:

率直に言って、誰もがこの問題には少なくとも眉をひそめているはずです。研究者はホワイトペーパー の中で、このサイドチャネルはインターネット上のオープンリゾルバの約13.85%にしか影響しないと述べていますが、様々なセキュリティサービスは、証明書の発行も含めてドメイン所有権の証明に依存しているため、その影響が大きいことを認識する必要があります。人気のDNSサービスである「Quad9」のユーザーは、13.85%がこの脆弱性の影響があると言われているため、特に注意が必要です。BIND、Unbound、dnsmasqなどのDNSソフトウェアが、選択したプラットフォーム上で動作している場合も同様です。

対処法:

ここからが厄介なところです。20年以上前に標準化されたDNSSECDNS CookieなどのDNS拡張機能は、この攻撃やその他すべてのDNSキャッシュポイズニング攻撃のサイドチャネルをうまく緩和するはずです。しかし現実には、これらの機能は、後方互換性の問題から、非常に限られた範囲でしか採用されていません。前述のホワイトペーパーの著者は、進歩を阻む恐竜が絶滅するのを待つ間、IP_PMTUDISC_OMITソケットオプションの有効化DNS例外キャッシュの構造への追加的なランダム化の導入、完全にICMPリダイレクトを拒否する単一のデフォルトゲートウェイを持つDNSサーバーの設定など、いくつかの代替的な緩和策を提案しています。詳細は、ホワイトペーパーの8.4に記載されています。

模範的な対応:

残念ながら、すべての脆弱性がネットワークセキュリティ製品で適切に対処できるわけではありませんが、今回の脆弱性もその一つです。最善の策は、上述の緩和策に従い、サーバーを最新の状態に保つことです。


Just About All DRAM: CVE-2021-42114 (Blacksmith) 

Blacksmithは、2014年に発生したDRAMのハードウェア脆弱性「Rowhammer」を新たに実装したもので、脆弱性とその対策のために作成されたファザーの両方を意味します。Rowhammerの核心は、物理メモリの隣接した領域でビット反転を引き起こすために高周波の読み出し操作を使用することであり、攻撃者が脆弱な物理ページに重要なデータが保存されるようにメモリをごまかすことができれば、あらゆるセキュリティバリアを越えてしまうことになります。最近のDRAMハードウェアは、TRR(Target Row Refresh)と呼ばれる技術で、一般的なロウハンマー攻撃の対象となる物理メモリの領域を早期にリフレッシュします。チューリッヒ工科大学の研究者らは、TRRが既存のRowhammer攻撃で使用されるメモリアクセスの均一性を利用して、それを「捕まえる」ことができることを発見しました。そこで、均一でないアクセスを使用するRowhammer攻撃を考案し、TRRやその他の最新のRowhammer緩和策をすべて回避するCVE-2021-42114にたどり着きました。

対象:

全ての人が対象です。一般的な電子機器の多くがDRAMを使用しており、テストした DIMMs (RAM sticks) testedの中で、研究者は完全に安全なものを一つも見つけられませんでした。このようなハードウェアの脆弱性は、学術的には興味深くても、実社会にはほとんど影響がないと思われがちです。しかし、2014年以降に発表された研究によると、Rowhammer攻撃は、ブラウザ上のJavaScript コンテナを抜け出し、クラウド上のVM境界を越え、さらには十分なスループットを持つネットワーク上でRCEを達成することに成功しています。おそらくBlacksmithの最大の悲劇は、ハロウィーンのフレディやジェイソンのごとく、数年ごとに何度もよみがえり新しいバージョンが現れることです。

対処法:

PC、タブレット、携帯電話の利用をやめるしかありません。なぜなら、すべての人が攻撃対象だからです。できることといえば、 JEDECが修正プログラムを開発し、DRAMメーカーが新しい規格のハードウェアを供給し始めるのを待つことくらいです。

模範的な対応:

この重大な脆弱性に対処するため、McAfee Enterpriseは全力のサポート体制でJEDECの修正を一緒に待ちます。

※本ページの内容は2021年11月30日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: The Bug Report – November Edition
著者: Mark Bereza