Hitach Incident Response Team

 11月27日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

SSL/TLSの再ネゴシエーション処理を悪用したサービス不能攻撃(2011/11/04)

 2009年11月、SSL(Secure Sockets Layer)およびTLS(Transport Layer Security)の再ネゴシエーション処理に関する脆弱性(CVE-2009-3555)が報告されました。当初、この問題は、SSL/TLS通信を中継可能な第三者が、特定の条件において通信データの先頭に任意のデータを挿入できるという問題として取り上げられました。

 2011年10月、再ネゴシエーション処理に関する脆弱性をサービス不能攻撃に利用する方法が報告されました。その方法は、ネゴシエーション処理に伴う計算処理量が、クライアント側よりもサーバー側の方が大きいことに着目しています。ブログ「SSL computational DoS mitigation」によれば、RSA 2048ビットの場合、サーバー処理はクライアント処理の6倍くらいになると報告しています。また、この問題については、共通脆弱性識別子として暫定的にCVE-2011-1473が割り当てられています。

 HTTP+SSLサーバー(Apache 2.2.6+OpenSSL 0.9.8g)への一般的なSSL通信とサービス不能攻撃を意図したSSL通信の例を写真1写真2に示します。サービス不能攻撃を意図したSSL通信(写真2)では、同一のTCPコネクション上でChange Cipher Specが繰り返し出現しています。これは、ネゴシエーション処理が繰り返されていることを意味し、そのたびに、ネゴシエーション処理の計算負荷が加算されることになります。なお、事例で使用しているOpenSSL 0.9.8gは、再ネゴシエーション処理に関する脆弱性(CVE-2009-3555)の影響を受けるバージョンです。

写真1●一般的なSSL通信(Apache 2.2.6+OpenSSL 0.9.8g、Firefox 3.6.xを使用)
[画像のクリックで拡大表示]

写真2●サービス不能攻撃を意図したSSL通信
(Apache 2.2.6+OpenSSL 0.9.8g、thc-ssl-dos-1.4を使用)
[画像のクリックで拡大表示]

[参考情報]

NSD 3.2.9リリース(2011/11/23)

 DNSコンテンツサーバー(権威DNSサーバー)の一つであるNSD(Name Server Daemon)のバージョン3.2.9がリリースされました。主にバグ対策を目的としたリリースです。セキュリティアップデートは含まれていません。

[参考情報]

制御システム系製品の脆弱性

 11月23日、ICS-CERTからイリノイ州の水道施設に対するサイバー攻撃についてのレポートICSB-11-327-01: Illinois Water Pump Failure Reportが発行されました。このレポートによれば、11月10日、イリノイ州の水道施設のSCADAシステムがロシアからのサイバー攻撃を受け、ポンプが破壊されたというインシデントが広く報道されましたが、調査の結果、サイバー攻撃を受け、侵入された証拠は見つからなかったとしています。なお、ポンプが故障した原因については引き続き調査中とのことです。

 経緯は、次の通りです。11月10日、イリノイ州のSTIC(Statewide Terrorism & Intelligence Center)から、Daily Intelligence Notesレポートとして、水道施設に対するサイバー攻撃「Public Water District Cyber Intrusion.」について報告されました。11月17日、前述の報告を元に、「Water System Hack - The System Is Broken」という見出しの記事が掲載されました。この記事には、ロシアのIPアドレスから攻撃されたこと、2~3カ月前からSCADAシステムのリモートアクセスに障害が発生していたこと、SCADAシステムの断続的な電源供給によりポンプが故障したことなどが記載されています。ICS-CERTでは、記事掲載と同時に情報収集のためSTICへのコンタクトを開始し、該当施設がイリノイ州のCurran-Gardner Public Water Districtであることを突き止め、ヒアリング、物理的な監査ならびにログ調査の結果、侵入されたという証拠は見つからなかったことから、11月23日、レポート発行に至ったというものです。

[参考情報]

Cyber Security Bulletin SB11-325(2011/11/21)

 11月14日の週に報告された脆弱性の中から、Squidの脆弱性を取り上げます(Vulnerability Summary for the Week of November 14, 2011)。

■Squid 3.1.16リリース(2011/10/14)

 Squid 3.1.15ならびにそれ以前のバージョンには、サービス不能攻撃を許してしまう脆弱性(CVE-2011-4096)が存在します。この問題は、メモリー解放が適切ではない処理に起因し、DNS応答メッセージのCNAMEレコード(!))が参照する別CNAMEレコード(!))が空Aレコード(!))の場合(図1)に、異常終了する可能性があります。

図1●異常終了が発生するDNS応答メッセージのレコード参照の例
図1●異常終了が発生するDNS応答メッセージのレコード参照の例

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『HIRT(Hitachi Incident Response Team)』とは

HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。