サイバー攻撃の被害が後を絶たない昨今、最新の脆弱性を収集して把握することはセキュリティ対策を行う上で必要不可欠となっています。本シリーズ「サイバーセキュリティ白書」では、クラウド型WAF「攻撃遮断くん」やAWS WAF自動運用サービス「WafCharm」を開発運営するサイバーセキュリティクラウドのセキュリティエンジニアが調査した脆弱性情報を解説していきます。
目次
脆弱性とは
脆弱性とはコンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを意味しており、簡単に言うと「ソフトウェア等におけるセキュリティ上の弱点」です。(セキュリティホールとも呼ばれます。)本来操作できないはずの操作ができてしまう、本来見えるべきでない情報が見えてしまうといった不具合、欠陥、バグといったものが該当します。こういった脆弱性が悪意のある第3者に利用されてしまうと、本来できないはずの操作ができる、本来見えるべきでない情報が見えることによって、情報の漏洩や不正アクセス、乗っ取り、改ざんなどの被害にあってしまいます。
ソフトウェアも多種多様化し、様々なベンダーから提供されています。また、OSS(Open Source Software)を利用されている場合も多いと思います。その分、新たに発見される脆弱性の数も日々増加している状況となっています。
脆弱性の収集方法とは
日々新しく発見された脆弱性には CVE(Common Vulnerabilities and Exposures) という固有の識別子が割り当てられます。CVEは、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。「CVE-西暦-連番」の形で番号が割り当てられています。CVEが割り当てられた脆弱性はCVSS v3 Base ScoreやVectorなどの指標で評価が行われています。
CVEが割り当てられた脆弱性の詳細情報は、NICT(アメリカ国立標準技術研究所)が管理している脆弱性情報データベースであるNVD(National Vulnerability Database)にて提供されています。
CVEの管理団体が米国であるため、日本での脆弱性情報が網羅されているわけではありません。そのような事情により日本の脆弱性情報に焦点を置いたデータベースJVN(Japan Vulnerability Notes)とJVN iPediaがJPCERT/CCとIPA(情報処理推進機構)により運営されています。
上記のような脆弱性情報データベースの更新情報に加えて、様々なセキュリティ企業のアナウンス情報についても日々キャッチアップすることで、情報収集を行っています。
参考リンク
CVE(Common Vulnerabilities and Exposures):https://cve.mitre.org/
NVD(National Vulnerability Database):https://nvd.nist.gov/
JVN(Japan Vulnerability Notes):https://jvn.jp/index.html
JVN iPedia:https://jvndb.jvn.jp/
2018年11月の脆弱性情報
1)Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性
CVE-ID:CVE-2018-11759
CVSS v3 Base Score:AWAITING ANALYSIS
Vector:AWAITING ANALYSIS
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11759
バージョン1.2.0 から 1.2.44にパストラバーサルが可能な脆弱性があります。
バージョン1.2.46へのアップデートが推奨の対応策です。
2)nginxにDoSの脆弱性
CVE-ID:CVE-2018-16843、CVE-2018-16844、CVE-2018-16845
CVSS v3 Base Score:AWAITING ANALYSIS
Vector:AWAITING ANALYSIS
情報源:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16843
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16844
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16845
CVE-2018-16843、CVE-2018-16844については、膨大なメモリ消費をさせることでDoS状態にする脆弱性です。
CVE-2018-16845については、特別に細工されたmp4ファイルを用いてプロセスに無限ループを引き起こさせることで、プロセスをクラッシュさせたり、メモリ情報を開示させてしまう脆弱性です。
3)Symfonyにパストラバーサルの脆弱性
CVE-ID:CVE-2017-16654
CVSS v3 Base Score:7.5
Vector:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVE情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-16654
SymfonyはPHP上で動作するアプリケーションフレームワークです。
2.7.38, 2.8.31, 3.2.14, 3.3.13, 3.4-BETA5, 4.0-BETA5以前のバージョンにパストラバーサルが可能な脆弱性があります。
4)phpMyAdminにクロスサイトスクリプティングの脆弱性
CVE-ID:CVE-2018-15605
CVSS v3 Base Score:6.1
Vector:AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15605
バージョン4.8.3以前に、クロスサイトスクリプティングの脆弱性があります。
バージョン4.8.3へのアップデートが推奨の対応策です。
5)Node.jsにアクセス制御に関する脆弱性
CVE-ID:CVE-2018-12120
CVSS v3 Base Score:AWAITING ANALYSIS
Vector:AWAITING ANALYSIS
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12120
初期設定状態において、デバッグポートとして用いられるポート番号 5858が、Listen状態となっている脆弱性です。
4.x系、6.x系、8.x系それぞれ、最新バージョンへのアップデートが推奨の対応策です。
6)Node.jsにDoSの脆弱性
CVE-ID:CVE-2018-12121
CVSS v3 Base Score:AWAITING ANALYSIS
Vector:AWAITING ANALYSIS
情報源:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12121
加工したHTTP headerをもつリクエストを大量に送信することによってDoS状態にする脆弱性です。LB配下であれば影響は軽減されるとされています。
4.x系、6.x系、8.x系それぞれ、最新バージョンへのアップデートが推奨の対応策です。
※情報源のサイトは全て英語サイトとなっております。
まとめ
今回ご紹介した脆弱性ですが、実際に公開された脆弱性の数からするとほんの一握りです。
それぞれの脆弱性に対して、製品を提供しているベンダーから推奨の対応策が提供されていますので、早急に対応を実施することが推奨されます。
ただし、様々な理由により、推奨の対策が実施できない場合もあると思います。そういった場合には、マネージドセキュリティサービスを利用してカバーすることも非常に有効となります。
この記事と一緒に読まれています
-
2019.10.12
セキュリティ対策
-
2019.09.11
セキュリティ対策
