バグ レポート - 2021 年 12 月

Philippe Laulheret 著· 2022 年 1 月 19 日

サイバー セキュリティのコミック リリーフ

はじめに

ようこそおいでくださいました。2022 年第一回、当社 ATR チームが過去 30 日間に注目した脆弱性について熱く語る月例セキュリティ ダイジェストをお送りします。おいしいコーヒーや紅茶、健康志向なら炭酸水、景気づけにエナジードリンクを片手に読んでいただくのもいいでしょう。やる気が出てきましたか? 元気ですか? 今年もよろしくお願いいたします。

Grafana パス トラバーサル: CVE-2021-43798

問題の概要

こちらの Wikipedia の記述では、Grafana は、分析およびインタラクティブな視覚化を可能にする、マルチプラットフォームで動作するオープンソースの Web アプリケーションで、Bloomberg、eBay、PayPal などが有料で契約を結んでおり、多くの分野で広く使用されているとあります。そのプラグイン パスの「…/…/…/」のサニタイズが不適切なため、攻撃者がローカル ファイルにアクセスできる、パス トラバーサルの脆弱性があることが、12 月上旬に明らかになりました。ご覧のように、かなりタイトなスケジュールで次々と開示されました。

対象:

もし過去 30 日間で Log4Shell の脆弱性以外について全く聞いたことがなかったとしても、責められることはないでしょう。しかし、お客様の企業で脆弱性のあるソフトウェアを使用している場合は、「/etc/passwd」ファイルがインターネット全体に公開されてしまうことがないよう、先月に開示された情報に従ったほうが良いでしょう。その上で、2 つの興味深い点について考えてみましょう。ベンダーが GitHub 上でバグを修正しただけでしたが、あまりにも悪用するのが簡単なため、その脆弱性が注目され、修正からわずか 3 日で POC が公開されました。このリスクに対する詳細なオープンソースのコード ベースと、その対処法について興味がありますか。Chromium のようなプロジェクトは、バグ レポートにアクセス可能な人を制限するバグ追跡インフラ (セキュリティ リスクとテスト ケースを明示するもの) を使用しています。バグ レポートと公開コミット メッセージを組み合わせ、セキュリティ コミットに注目を集めないようなシンプルな言い回しにしています。

もう 1 つ興味深い点として、このバグの根本的な原因は、パスをサニタイズするための Go API の誤用にあるいうことが挙げられます。Twitter のこちらのスレッドで議論されています。脆弱なコードが処理する入力のサニタイズに使用される filepath.Clean 関数は、絶対パスである場合のみ、過剰な「../../」を削除するということがわかりました。これは、API が期待通りの振る舞いをするにもかかわらず危険な結果につながるという、よくあるケースです。お客様の企業では、コードベースにこのような問題がないと確信が持てますか? パッチを適用しない場合、この脆弱性によって、極めて重要なデータへのアクセスや漏えいにつながる可能性があるということについて、よく考えて対処してください。*あれこれ考えると、気が狂いそうになります*

対処法

このソフトウェアを使用しているのであれば、今すぐにアップデートしてください。そして、Sigma ルールを使用して、攻撃の試みを検出することも可能です。理想的には、分析プラットフォームはインターネットに公開されるべきではありません。Shodan によると、これらの 87k インスタンスのうち 16k はまだ脆弱です。最低限、あなたの Grafana インスタンスが .htaccess プロンプトまたは同様のものの背後にあることを確認してください。開発の観点からは、セキュリティ テストとユニット テストを活用して、設置しているフィルタリングが意図したとおりに動作していることを確認する必要があります。そして、大局から見れば、信頼されていないユーザー入力を処理する場合、フィルタリングをウィングし、セキュリティツールの警告を無効化するのではなく、徹底的に監査されたコード パターンを適用することです。

模範的な対応

Garth Nix は小説「Sabriel」の中で、「歩く人が path (道) を選ぶのか、それとも path (道) が歩く人を選ぶのか」とつぶやいています。NSP (Network Security Platform) をご利用中のお客様の場合においては、攻撃者がパスを横断することはないでしょう。なぜなら、包括的なルールによってパス トラバーサル攻撃から保護され、カスタムの攻撃ルールを作成すればさらに保護を強固なものにすることができるからです。

CVE-2021-44228: Log4Shell

問題の概要

信頼できない入力を解析し、時には実行することが悪い考えであることを、誰が知ることができたでしょうか。Apache の log4j のロギング コードはまさにそれを実行し、もしログに記録された文字列が魔法の呪文 $(jdni:…) を含んでいる場合は、信頼できない Java コードを取り出して実行する可能性があることがわかったのです。この攻撃が繰り返されると、環境変数に格納されたローカルな秘密 (AWS キーなど) が漏れる可能性があること、また、処理の再帰性を考えると、パターン マッチングによる検知を回避する方法が多くあることも明らかになりました。

対象:

ほぼすべての人が対象です。Java を書いていて、ログを取るのが好きな人? そうです、あなたはこの件を把握しているはずです。Java ベースのアプリケーションやサーブレットを使っていますか? おそらく、信頼できないユーザー入力のロギングが行われているはずです。お客様の企業では Java ベースのアプライアンスやサービスを使用していますか? この問題は、業界全体に影響を与え、その影響は今後数年にわたり続くと見られます。さらに悪いことに、このバグは悪用するのが実に簡単なのです。ペンテスター、SOC アナリスト、スクリプト キディ (Script kiddie) から、国家ぐるみのアクターまで、ありとあらゆるものがこの攻撃方法を探り始めました。クリプトマイナーから「rm -rf /*」ペイロード、さらには Mirai ワームを拡散する試みまで、あらゆるペイロードを使った大規模な現在進行中の攻撃が観察されています。最悪の事態は、まだこれからでしょう。

対処法

例えるなら、ドラマ「Stranger Things」(ストレンジャー・シングス) が「Erica なしに America を綴れない」と教えてくれたように、「パッチ」なしに「アパッチ」(Apache) は語れない、そんな感じです。今すぐアップグレードしてください。マイクロパッチとトラフィック監視です。重要なポイント: もし突然、あなたの内部専用のアプリケーションが、あなたが活動しているはずのない国のリモート サーバーに向かって LDAP リクエストをしたら、多分、何か良くないことがすでに起きています。

このバグの重要性を IT 部門に説得できずに苦労しているなら (そして、カオス的状況をいとわないのであれば)、まずはデモを実行する許可を得てください。そして、あなたがコントロールできる文字列 (ユーザー エージェント、Twitter のアカウント、無線 LAN の SSID など) をこの魔法の値 $(jdni:ldap…) に設定し、あなたがコントロールする IP とポートを指すようにするのです (信頼できるとは言いきれませんが、Canarytoken などの第三者のサービスもあります)。そのアドレスのヒットを検出した場合は、受信アドレスの所有者と技術スタックのアップグレードの必要性について、やっかいな話を続けることになるのは不可避でしょう。まず最初に許可を得ることが、非常に重要なことです。この「魔法の文字列」を無差別にあちこちに貼り付けて何が起こるか確認していると (さまざまなソーシャル メディア プラットフォームで見たことがあるかもしれませんが)、いずれそのユーザーエージェントについて「お問合せ」される可能性が高いからです。まずこのようなテストを行う前に理解して、絶対に避けるべきことがあります。CFAA (Computer Fraud and Abuse Act: コンピューターに関する詐欺・乱用を防止する法) に違反したら、厄介な状況に巻き込まれることは必至だということを、まず最初に理解しておいてください。

模範的な対応

当社のお客様は、さまざまな角度から 保護されています ( こちらのナレッジベースの記事で詳細な内容をご覧ください):

• ENS (Endpoint Security) のエキスパート ルールによって、メモリー内の危険なパターンを拾い上げることができます。こちらのブログ記事で紹介しています。
• ENS (Endpoint Security)、VSE (VirusScan Enterprise)、WG (Web Gateway) は、「望ましくない可能性のあるソフトウェア」の検出により、Exploit-CVE-2021-44228.C というタイルで汎用検出を提供可能です。また、この脆弱性を悪用しているキャンペーンに関連したハッシュのサンプルのリストによって、検出を補強します。
• NSP (Network Security Platform) でも、ユーザー定義シグネチャ (既出のナレッジ ベースの記事のリンク先にて提供) により、この攻撃を検出可能です。
• また、EDR (Endpoint Detection and Response)、Active Response (AR) は、RTS (リアルタイム検索) クエリで脆弱なシステムを探すことができます。
• SIEM アップデート (Exploit Content Pack バージョン 4.1.0) で、潜在的なエクスプロイトの試みに対して警告を発するようになりました。Insights は、脅威キャンペーン「Log4Shell – Log4j の脆弱性 – CVE-2021-44228」に関して重要な情報を提供しています。Insight のプレビューをご確認ください。

CVE-2021-43527 – Big Sig

問題の概要

フロイトの母親が名付け親なのかと思うような、なにやら意味ありげな名前のこのバグは、12月初めの Google Project Zero のブログ記事によれば、NIST の National Vulnerability Database のページで、Mozilla の Network Security Services (NSS) に CVSS スコア 9.8 の脆弱性を発見したと書かれています。特定のシグニチャ (DER エンコードされた DSA および RSA-PSS シグネチャ) の処理において、ヒープ オーバーフローがあるということです。簡単に説明すると、NSS は暗号ライブラリの集合体で、開発者は暗号のプリミティブや標準 (通信の暗号化、データの真偽の検証など) の実装をより安全かつ厳重にテストして使用できるようにするものです。今回、さまざまな公開暗号方式を用いたデータの真正性を証明するシグネチャの検証を担う機能でバグが発見されています。通常、この種の機能は、メールや文書作成者を確認するための署名として利用されます。このバグの面白いところは、比較的単純でありながら、その存在期間が長いことです。Project Zeroのブログによると、このバグは 2012 年まで遡って悪用可能だったとのことです。この脆弱なコード パスは、Mozilla が使用するさまざまなファザー (Fuzzer) の隙間に入り込んでしまっていたのです。

対象:

シグネチャを検証するために NSS ライブラリに依存しているのであれば、ソフトウェアを最新版 (NSS バージョン 3.73/3.681 ESR 以降) に更新する必要があります。Firefox は影響されないようですが、シグネチャを解析するその他のソフトウェア (Thunderbird、LibreOffice、Evolution、Evince など) に影響を与える可能性があります。

対処法

脆弱性がある可能性のあるソフトウェアを使用している場合は、いつもと同様、最新版にアップデートすることをお勧めします。このパッチは 12 月 1 日にリリースされたので、まずは脆弱性のあるソフトウェアがこの日以降にアップデートされたかどうかを確認する必要があります。また、どのソフトウェアがこのライブラリに依存しているかを知ることも有効です。魔法のような解決策はありませんが、nss3.dll (Windows の場合) や libnss3.so (Linux の場合) などのファイルへの参照から始めてください。最善の方法は、リリース ノートや、使っている可能性のあるアプリケーションで使用されているサードパーティ ライブラリのリストを見ることです。もし脆弱性のあるライブラリを使用している場合、コードを更新するか、パッチをバックポートしてください。

模範的な対応

ぜひ当社の製品セキュリティ情報をご一読いただき、お客様の企業で重要な脆弱性に関する最新の情報を見逃していないか確認してみてください。CVE-2021-43527 の修正プログラム配布予定のアプリケーションについても、随時、情報を更新しています。