5月28日、sKyWIper、Flameという名前のマルウエアに関する情報がカスペルスキーラボ、MAHERとCrySyS Labの3組織から報告されました(図1)。CrySyS Labの報告によれば、現時点ではゼロディに該当する脆弱性は確認されていません。また、カスペルスキーラボとCrySyS Labの報告によれば、それぞれ3組織は同じマルウエアによる異なるインシデントの調査を進めていたようです。このマルウエアは情報窃取のための機能を有しており、Stuxnet、Duquと同様にモジュール化された構造を持ち複雑であること、2年以上前から潜伏流布していた形跡があることから注目されています。ただし、類似性があまりないことから、Stuxnet、Duquの作者とは異なるであろうと考えられています。
- カスペルスキーラボ:Kaspersky LabとITUの調査で新たに高度な脅威を発見
- イラン National CERT(MAHER):IRCNE2012051505: MAHER publishes information about the last found sample for the first time.
- ハンガリー ブダペスト科学技術・経済大学 Laboratory of Cryptography and System Security(CrySyS Lab.):sKyWIper(a.k.a. Flame a.k.a. Flamer): A complex malware for targeted attacks
6月3日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米シスコCisco IOS XRソフトウエアルートプロセッサの脆弱性(2012/05/30)
Cisco IOS XRが稼働しているCisco 9000シリーズのASR(Aggregation Services Routers)のルートスイッチプロセッサ、CRS(Cisco Carrier Routing System)のパフォーマンスルートプロセッサには、不正なパケットを受信した場合に、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-2488)が存在します。
MySQL Community Server 5.5.25リリース(2012/05/30)
MySQL Community Server 5.5.25の変更点は、--safe-modeサーバーオプションの廃止と、InnoDB Storage Engine、レプリケーション処理に存在するバグ修正で、セキュリティアップデートは含まれていません。
Tomcat Connector 1.2.37リリース(2012/05/31)
ApacheをはじめとしたHTTPサーバーと連携して、アプリケーションサーバーに接続するTomcat Connectors 1.2.37がリリースされました。このバージョンは、バグの修正を目的としたもので、セキュリティアップデートは含まれていません。
制御システム系製品の脆弱性
■エマソンのDeltaV(2012/05/30)
エマソン(emerson.com)の分散型制御システム(DCS)Delta-VのWebアプリケーション部にはクロスサイトスクリプティング(CVE-2012-1814)とSQLインジェクション(CVE-2012-1815)の脆弱性、ポート番号111/tcp、111/udpで稼働するPORTSERV.exeには不正なパケットを受信した場合にサービス拒否攻撃を許してしまう脆弱性(CVE-2012-1816)、プロジェクトファイルの入力処理にはバッファオーバーフローの脆弱性(CVE-2012-1817)、ActiveXコントロールにはファイル改ざんを許してしまう脆弱性(CVE-2012-1818)が存在します。
Cyber Security Bulletin SB12-149(2012/05/29)
5月21日の週に報告された脆弱性の中から、シマンテック製品の脆弱性を取り上げます(Vulnerability Summary for the Week of May 21, 2012)。
■シマンテックSymantec Web Gateway
Web用のセキュリティゲートウェイアプライアンスであるSymantec Web Gateway 5.0.xの管理インタフェースには、任意のコード実行を許してしまうコマンドインジェクションの問題(CVE-2012-0297)、ファイルのアップロードに関連して任意のコード実行を許してしまう問題(CVE-2012-0299)、任意のファイルの参照ならびに削除に関する問題(CVE-2012-0298)、クロスサイトスクリプティングの脆弱性(CVE-2012-0296)が存在します。
■シマンテックSymantec Endpoint Protection
Symantec Endpoint Protection 11.0/12.1には、バッファオーバーフローに起因するアクセス権限昇格の脆弱性(CVE-2012-0289)、ディレクトリートラバーサル(CVE-2012-0294)、ファイルのインクルードに関連して任意のコード実行を許してしまう脆弱性(CVE-2012-0295)、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-1821)が存在します。また、Symantec Network Access Control(SNAC)11.0には、バッファオーバーフローに起因するアクセス権限昇格の脆弱性(CVE-2012-0289)が存在します。
- シマンテック:SYM12-007: Symantec Endpoint Protection Manager 11.x Denial of Service
- シマンテック:SYM12-008: Symantec Endpoint Protection Multiple Issues
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
