Hitach Incident Response Team

この記事は,日立製作所のHIRT(Hitachi Incident Response Team)のスタッフがCSIRTの担当者に向け,脆弱性対策情報から得られた知見,脆弱性対策に関するアドバイス,ツールなどを紹介するものです。

■セキュリティアップデートの棚卸

 最近,ユーザーの利用環境においてはワームのような大規模被害が発生していないことから,なんとなく脅威がなくなったとか,脆弱性対策をしなくても大丈夫という感覚が芽生えていることは否定できません。ただ,本当に何も対策をしないといつか被害に遭います。こういうときだからこそ,新たな脆弱性が報告されたら対処をするというアプローチだけではなく,定期的に脆弱性対策が完了していることを確認するというアプローチを徹底すべきだと感じています。

 こうした定期的な脆弱性対策に向けて,いくつかのベンダーがセキュリティ・アップデートという形で最新の情報をほぼ定期的に公開しています。2007年4月は,次の三つの代表的なセキュリティ・アップデートがありました。

4月11日 マイクロソフトの「2007年4月のセキュリティ情報
 深刻度「緊急」のセキュリティ更新プログラムが5件,深刻度「重要」のセキュリティ更新プログラムが1件含まれています。最も深刻な脆弱性については,リモートの攻撃者による任意のコード実行を伴う可能性があります。

4月19日 オラクルの「Oracle Critical Patch Update - April 2007
 複数のオラクル製品とそのコンポーネントに複数の脆弱性が確認されました。これらの脆弱性は,該当するシステム上でのリモート攻撃者による任意のコード実行,情報の漏えい,サービス妨害(DoS: denial of service) などの影響を伴う可能性があります。オラクル製品の多くが,オラクル製品自身ならびにコンポーネントの取り込みや共有を行っているため,一つの脆弱性がいろいろな製品やコンポーネントに影響を与えるので注意が必要です。

4月19日 アップルの「Security Update 2007-004
 Mac OS X,Mac OS X Server に影響を与える複数の脆弱性が確認されました。GNU Tar,JVNTA07-093Bで報告されたMIT Kerberosに関する脆弱性の修正が含まれています。最も深刻な脆弱性については,リモートの攻撃者による任意のコード実行を伴う可能性があります。

 マイクロソフトは2003年10月から毎月,オラクルは2005年1月から四半期先頭月(1,4,7,10月)に公開しています。アップルは2005年1月から現在のセキュリティ・アップデートの形態に移行し,2007年に入ってからほぼ毎月のようにセキュリティ・アップデートを公開しています。これらについては,製品開発ベンダが定期的に脆弱性対策をまとめてくれていますので,月に1度,四半期に1度の棚卸ができると思います。

 重要なのは,こうした定期的なアップデートがないベンダーの製品の脆弱性対策です。そこで今回は,一例としてシスコの2007年1月~4月までのセキュリティ・アップデート情報の棚卸をしてみたいと思います。

表 脆弱性対策情報チェックリスト >PIXとASAアプライアンス製品にサービス運用妨害を伴う複数の脆弱性 (2007-02-14)
cisco-sa-20070214-pix: Multiple Vulnerabilities in Cisco PIX and ASA Appliances
 セキュリティ製品であるPIXとAdaptive Security Appliance (ASA)には,HTTP,SIP,TCPパケットの処理にサービス運用妨害を伴う複数の脆弱性が存在します。

【関連情報】
JVNDB-2007-000141:Cisco PIX/ASA および FWSM の不正 SIP パケットによるサービス運用妨害 (DoS) の脆弱性
JVNDB-2007-000142:Cisco PIX/ASA および FWSM の不正な HTTP トラフィックによるサービス運用妨害 (DoS) の脆弱性
JVNDB-2007-000143:Cisco PIX/ASA におけるユーザ認証で LOCAL メソッド使用時での権限昇格の脆弱性
JVNDB-2007-000158:Cisco PIX/ASA の不正な TCP パケット処理によるサービス運用妨害 (DoS) の脆弱性
Cisco製セキュリティ装置にクラッシュなどを起こす4件のぜい弱性
>Network Analysis ModuleをインストールしているCisco製品に脆弱性 (2007-02-28)
cisco-sa-20070228-nam: Cisco Catalyst 6000,6500 Series and Cisco 7600 Series NAM (Network Analysis Module) Vulnerability
 統合型モニタリング系の機能を提供するNetwork Analysis Module (NAM)をインストールしているCisco製品には,リモートの攻撃者が不正アクセスに利用可能な脆弱性が存在します。

【関連情報】
JVNDB-2007-000183:Cisco Catalyst 6000,6500 および Cisco 7600 シリーズ対応の NAM における脆弱性
脆弱性対策情報 対策要否
1 Cisco Clean Accessに複数の脆弱性 (2007-01-03)
cisco-sa-20070103-CleanAccess: Multiple Vulnerabilities in Cisco Clean Access
 ネットワーク・アドミッション・コントロール系の製品であるCisco Clean Access (CCA) には,不正アクセスや情報漏えいを伴う脆弱性が存在します。
 
2 Cisco Secure Access Control Serverに複数の脆弱性 (2007-01-05)
cisco-sa-20070105-csacs: Multiple Vulnerabilities in Cisco Secure Access Control Server
 セキュリティに関連するユーザー管理を統合的に行うCisco Secure Access Control Server (ACS)とCisco Secure ACS Solution Engineには,HTTP GET,RADIUS Accounting-RequestとRADIUS Access-Requestの処理に,サービスの異常終了や任意のコード実行を伴う複数の脆弱性が存在します。

【関連情報】
Cisco Secure Access Control Server における複数の脆弱性
 
3 Unified Contact Center製品にサービス運用妨害の脆弱性 (2007-01-10)
cisco-sa-20070110-jtapi: Cisco Unified Contact Center and IP Contact Center JTapi Gateway Vulnerability
 コンタクトセンター機能を提供するUnified Contact Center製品には,IP Contact Center JTapi Gatewayプロセス再起動中は,新たな通信を処理することができず,サービス運用妨害を伴う可能性があります。
 
4 DLSwの脆弱性 (2007-01-10)
cisco-sa-20070110-dlsw: DLSw Vulnerability
 Cisco IOSのData-link Switching (DLSw)機能には,装置のリロードを伴うメッセージ処理の脆弱性が存在します。
 
5 SSL/TLS証明書ならびに,SSHの公開鍵の検証処理に脆弱性 (2007-01-18)
cisco-sa-20070118-certs: SSL/TLS Certificate and SSH Public Key Validation Vulnerability
 ネットワーク機器からイベント・ログを受信し,分析を行なうCisco Security Monitoring,Analysis and Response System (CS-MARS)とセキュリティ管理およびモニタリング機能を提供するCisco Adaptive Security Device Manager (ASDM)のSSL/TLS証明書ならびに,SSHの公開鍵の検証処理に脆弱性が存在します。
 
6 Cisco IOSに不正なIPオプションによるサービス運用妨害の脆弱性 (2007-01-24)
cisco-sa-20070124-crafted-ip-option: Crafted IP Option Vulnerability
 Cisco IOSまたはCisco IOS XRの稼動するルーターまたはスイッチには,サービス運用妨害を伴うIPオプションに関する脆弱性が存在します。

【関連情報】
JVNVU#341288:Cisco IOSが細工されたIPオプションを含むパケットを適切に処理できない問題
JVNDB-2007-000079:Cisco IOS の不正な IP オプションを含む IP ヘッダーによる脆弱性
「Cisco IOS」などにサービス運用妨害攻撃を受ける脆弱性
 
7 Cisco IOSのTCPパケット処理にサービス運用妨害の脆弱性 (2007-01-24)
cisco-sa-20070124-crafted-tcp: Crafted TCP Packet Can Cause Denial of Service
 Cisco IOSのTCP受信処理にはメモリー・リークの脆弱性が存在するため,サービス運用妨害を伴う可能性があります。

【関連情報】
JVNVU#217912:Cisco IOS における TCP パケットを適切に処理できない問題
JVNDB-2007-000081:Cisco IOS の不正な TCP パケットのメモリリークによるサービス運用妨害 (DoS) の脆弱性
「Cisco IOS」などにサービス運用妨害攻撃を受ける脆弱性
 
8 Cisco IOSのIPv6パケット処理にサービス運用妨害の脆弱性 (2007-01-24)
cisco-sa-20070124-IOS-IPv6: IPv6 Routing Header Vulnerability
 Cisco IOSのIPv6パケットのType 0ルーティング・ヘッダーの処理には,サービス運用妨害を伴う脆弱性が存在します。

【関連情報】
JVNVU#274760:Cisco IOSが不正なIPv6パケットを適切に処理できない問題
JVNDB-2007-000080:Cisco IOS の不正な IPv6 ルーティング・ヘッダーによるサービス運用妨害 (DoS) の脆弱性
「Cisco IOS」などにサービス運用妨害攻撃を受ける脆弱性
 
9 Cisco IOSのSIP パケット処理の脆弱性 (2007-01-31)
cisco-sa-20070131-sip: SIP Packets Reload IOS Devices with support for SIP
 Session Initiation Protocol (SIP)をサポートしているCisco IOSには,ポート番号5060宛の特別なトラフィックにより,サービス運用妨害を伴う脆弱性が存在します。

【関連情報】
JVNVU#438176:Cisco IOS における SIP パケットの処理に関する脆弱性
JVNDB-2007-000112:Cisco IOS の SIP パケット処理によるサービス運用妨害 (DoS) の脆弱性
 
10 Cisco IOSの侵入防止システムに複数の脆弱性 (2007-02-13)
cisco-sa-20070213-iosips Multiple IOS IPS Vulnerabilities
 Cisco IOSの侵入防止システムIntrusion Prevention System (IPS)機能に,検知機構を回避される脆弱性とサービス運用妨害を伴う脆弱性が存在します。

【関連情報】
Cisco,IOSに複数のセキュリティ・ホール
 
11 Firewall Services Moduleにサービス運用妨害の脆弱性 (2007-02-14)
cisco-sa-20070214-fwsm: Multiple Vulnerabilities in Firewall Services Module
 ルーター用の統合型ファイアウォール・モジュールであるFirewall Services Module (FWSM)には,HTTP,HTTPS,SIP,SNMPトラフィックの処理に関して,サービス運用妨害を伴う複数の脆弱性が存在します。
 
12  
13 Unified IP Conference StationとIP Phoneにアクセス権限昇格の脆弱性 (2007-02-21)
cisco-sa-20070221-phone: Cisco Unified IP Conference Station and IP Phone Vulnerabilities
 IPテレフォニー系の製品であるCisco Unified IP Conference Station およびIP Phoneにはアクセス権限昇格を伴う脆弱性が存在します。
 
14 Cisco Secure Services Clientに複数の脆弱性 (2007-02-21)
cisco-sa-20070221-supplicant: Multiple Vulnerabilities in 802.1X Supplicant
 802.1X 認証フレームワークを構築するためのクライアント・ソフトウエアであるCisco Secure Services Client (CSSC)にはアクセス権限昇格,パスワード漏えいを伴う複数の脆弱性が存在します。
 
15 MPLSのパケットの処理にサービス運用妨害の脆弱性 (2007-02-28)
cisco-sa-20070228-mpls: Cisco Catalyst 6000,6500 and Cisco 7600 Series MPLS Packet Vulnerability
 Cisco IOSには,Multi Protocol Label Switching (MPLS)のパケットの処理にサービス運用妨害を伴う脆弱性が存在します。

【関連情報】
JVNDB-2007-000184:Cisco IOS の MPLS 処理によるサービス運用妨害 (DoS) の脆弱性
 
16  
17 Cisco Unified CallManagerとCisco Unified Presence Serverにサービス運用妨害の脆弱性 (2007-03-28)
cisco-sa-20070328-voip: Multiple Cisco Unified CallManager and Presence Server Denial of Service Vulnerabilities
 IPテレフォニー系の製品であるCisco Unified CallManager (CUCM)とCisco Unified Presence Server (CUPS)には,サービス運用妨害を伴う複数の脆弱性が存在します。
 
18 Wireless Control Systemに複数の脆弱性 (2007-04-12)
cisco-sa-20070412-wcs: Multiple Vulnerabilities in the Cisco Wireless Control System
 無線LANを計画,設定,および管理するためのWireless Control System (WCS)には,情報漏えい,アクセス権限昇格ならびに,不正アクセスを伴う脆弱性が存在します。
 
19 無線LANコントローラに複数の脆弱性 (2007-04-12)
cisco-sa-20070412-wlc: Multiple Vulnerabilities in the Cisco Wireless LAN Controller and Cisco Lightweight Access Points
 無線LAN管理プラットフォームであるWireless LAN Controller (WLC)には,サービス運用妨害,情報漏えい,アクセス権限昇格ならびに,不正アクセスを伴う脆弱性が存在します。
 
20 NetFlowコレクション・エンジンにデフォルト・パスワードに関する脆弱性 (2007-04-25)
cisco-sa-20070425-nfc: Default Passwords in NetFlow Collection Engine
 NetFlowデータを収集するCisco Network Services (CNS)のNetFlow Collection Engine (NFC)には,ユーザー名とパスワードが同じデフォルト・アカウントが存在します。
 

 今後も,定期的に代表的なセキュリティ情報の棚卸一覧を作成して,脆弱性対策の推進を支援していきたいと思います。

脆弱性対策情報の覚書き

覚書きには,何かの時に広報しないといけないと思う脆弱性対策情報やりリース情報を列挙します。

■NortelのVPNルーターに脆弱性

VPN Router Security Issue - Unauthorized Remote Access
 NortelのVPNルーターには三つの脆弱性が存在します。(1) VPNルーターのシステム管理者には診断目的の2つのデフォルト・アカウントが存在し,これらのデフォルト・アカウントでVPN接続ができてしまう,(2) VPNルーターのWebインタフェースに特殊なURLでアクセスすることで,認証なしに管理画面にアクセスできてしまう,(3) すべてのVPNルーターで,ユーザーのパスワードを暗号化する際に,同じDESの鍵を使用している。

 デフォルト・アカウントに関連する脆弱性については,次に示す通り,過去多数の組み込み製品で指摘されていますので,製品開発の設計においても留意していきたいものです。
VU#127545:Cisco NetFlow Collection Engine contains known default passwords
VU#659228:Cisco WLSE and HSE devices contain hardcoded username and password
VU#461219:Beck GmbH IPC@Chip TelnetD service ships with inadequately protected default account
JVN#76659792:WirelessIP5000 に複数の脆弱性

【関連情報】
Nortel VPN Router Lets Remote Users Access VPNs and Administrative Functions

■リリース情報
Thunderbird 2.0.0.0 (2007年04月18日)


HIRT(Hitachi Incident Response Team)とは
 HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。