2022Q4 脆弱性トピック

2022/12/30

Google Homeスマートスピーカーに脆弱性。攻撃者が盗聴できる可能性

• 研究者のブログより
• 攻撃者が無線近接内にいる場合、デバイスに「バックドア」アカウントをインストールし、インターネット経由でリモートからコマンドを送信できるようにする事ができるようです。
• 研究者はこの問題をGoogleに知らせたことで、Google から総額 107,500 ドルの報酬を受け取りました。
• PoCはGitHub上で公開されています（リンクは敢えて貼りません）。
• Google は 2021 年 4 月にすべての問題を修正したそうです。それ以前のバージョンでGoogle Homeスピーカーを動かしている場合は、更新をしておきましょう。

NetGearにバッファーオーバーフローの脆弱性

• NetGearのアドバイザリー情報
• NetGearの複数のWifiルータにバッファーオーバーフローの脆弱性が出ています。
  • Wireless AC Nighthawk
  • Wireless AX Nighthawk (WiFi 6)
  • Wireless AC
• コード実行の可能性もあるので、Netgear は「できるだけ早く最新のファームウェアをダウンロードすることを強く推奨する」と述べています。
• 該当製品等の情報はNetGearのアドバイザリーを確認してください。

2022/12/17

LEGO BrickLink(ブロックパーツ・中古パーツを売買するためのショッピングサイト)に脆弱性。

2022/12/14

• bleepingcomputerより
• LEGOパーツや中古パーツを売買するためのショッピングサイトであるLEGO BrickLinkにAPIセキュリティの脆弱性が見つかりました。
• 2 つの API セキュリティ脆弱性（Salt Security によって発見された）により、攻撃者はメンバーのアカウントを乗っ取り、プラットフォームに保存されている個人情報にアクセスして盗むことが可能だったようです。
• 脆弱なフィールドやその他の情報は、BleepingComputerの記事に載っていますので参考にして下さい。

VMWareにCriticalの脆弱性（CVE-2022-31702, CVE-2022-31703, CVE-2022-31705）

• CISAの情報より
• VMWareが複数の製品にセキュリティアドバイザリとアップデート情報を出しています。
• VMSA-2022-0031
  • 影響を受ける製品は下記になります。
    • VMware vRealize Network Insight
  • CVE-2022-31702
    • CVSS Base: 9.8 Critical
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • VMWare vRealize Network InsightではvRNI REST APIにコマンドインジェクションの脆弱性が含まれています。これによりvRNI REST APIにネットワーク越しで接続できる攻撃者は認証無しで任意のコマンドを実行できます。
  • CVE-2022-31703
    • CVSS Base: 7.5 Critical
    • CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • VMWare vRealize Network InsightではvRNI REST APIにディレクトリトラバーサルの脆弱性が含まれています。これによりvRNI REST APIにネットワーク越しで接続できる攻撃者はサーバ上の任意のファイルを読むことができます。
  • 詳細はアドバイザリを確認して下さい。
• VMSA-2022-0033
  • 影響を受ける製品は下記になります。
    • VMware ESXi
    • VMware Workstation Pro / Player (Workstation)
    • VMware Fusion Pro / Fusion (Fusion)
    • VMware Cloud Foundation
  • CVE-2022-31705
    • CVSS Base: 9.3 Critical(Workstation, Fusion) / 5.9 Moderate(ESXi)
    • CVSS Vector: ESXi: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
    • CVSS Vector: Workstation,Fusion: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • VMare ESXi, Workstation, Fusionに含まれるUSB 2.0（EHCI）コントローラでのヒープ領域外書き込みの脆弱性が見つかっています。
    • ゲストOS上でのローカル管理者権限を持つ攻撃者は、この脆弱性を悪用してホスト上の仮想マシンのVMXプロセスとしてコードを実行できる可能性があります。ESXiの場合にはエクスプロイトがVMXサンドボックス内に含まれていますが、WorkstationやFusionではインストールされているホストOS内でコードが実行される可能性があります。
    • 詳細はアドバイザリを確認して下さい。

Citrix ADC, Citrix Gatewayに緊急の脆弱性（CVE-2022-27518）

• Citrixブログより
• Citrix ADC およびCitrix Gatewayに緊急の脆弱性がみつかりました。SAMLを使用している際に影響を受ける様です。
• すでにこの脆弱性を用いた攻撃が観測されている様です。
• 下記の製品が対象とのことです。詳しくはCitrixのサイトを確認して下さい。
  • 13.0-58.32 より前の Citrix ADC および Citrix Gateway 13.0
  • 12.1-65.25 より前の Citrix ADC および Citrix Gateway 12.1
  • 12.1-55.291 より前の Citrix ADC 12.1-FIPS
  • 12.1-55.291 より前の Citrix ADC 12.1-NDcPP
  • Citrix ADC及びCitrix Gateway 13.1は影響を受けないそうです。
• NSAの方ではADC及びGatewayに関しての悪意の有るアクターが利用する攻撃のTTP、及び緩和策が説明されているセキュリティアドバイザリーをリリースしています。Citrix ADC, Gatewayのユーザはこちらも見ておいたほうが良さそうです。

2022/12/13

Fortinetにリモートコード実行の緊急の脆弱性(CVE-2022-42475)

• FortinetのPSIRTアドバイザリはこちら
• FortiOS SSL-VPNにヒープベースバッファーオーバーフローの脆弱性が見つかりました。これを悪用して認証されていない攻撃者が細工されたリクエストを流すことで、リモートから任意のコードを実行できるとのこと。
• アドバイザリでは「in the wild」と言ってますので、既にFortinetの方でも悪用を観測している様です。要注意です。
  • CVSS Base Score:9.3 Critical
• 対象となるFortiOS
  • FortiOS version 7.2.0 – 7.2.2
  • FortiOS version 7.0.0 – 7.0.8
  • FortiOS version 6.4.0 – 6.4.10
  • FortiOS version 6.2.0 – 6.2.11
  • FortiOS-6K7K version 7.0.0 – 7.0.7
  • FortiOS-6K7K version 6.4.0 – 6.4.9
  • FortiOS-6K7K version 6.2.0 – 6.2.11
  • FortiOS-6K7K version 6.0.0 – 6.0.14
• つい10月にも脆弱性が出たばかりで対応された方々も多いと思いますが、危険な脆弱性で且つ既に悪用も観測されているとのことから、出来れば年末休暇の前に対応しておいたほうが良さそうです。

2022/12/06

Google Chromeにゼロデイ脆弱性(CVE-2022-4262)。なるべく早い対応を

• Google Chromeにゼロデイの脆弱性(CVE-2022-4262)が出ていたのが、前回（米国12/2、Windows: v108.0.5359.94/.95, Linux: v108.0.5359.94）の更新で修正されたとのことです。
  • Googleのアドバイザリはこちらです。「Exploit in the wild」なのでネット上でエクスプロイトが出回っている状態です。
• CVE-2022-4262はNVDでも下記のスコアを出しています。
  • Base Score:8.8　High
  • Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
• CISAの”KNOWN EXPLOITED VULNERABILITIES CATALOG”にも載せられており、「12/26までに政府系のPCは全部更新する様に」となっています。
• Exploitが出回っている様ですので、すぐに更新しましょう。

BMC&C　脆弱性：BMC（Baseboard Management Controller）の脆弱性に要注意。大手サーバーメーカーにも波及の可能性あり。サーバメーカーの脆弱性情報に注意が必要

• eclypsium社のブログから
• Eclypsium ResarchはAMI MegaRAC Baseboard Management Controller (BMC) ソフトウェアに 3 つの脆弱性を発見し報告したとのこと。これらの脆弱性を纏めて「BMC&C」と呼んでいます。
• 脆弱性は下記の3つになります（CVSSはeclypsium社のブログから。ブログには詳細な情報も載っています）。
  • CVE-2022-40259 – Redfish APIを用いて任意のコード実行が可能
    • CVSS v3.1 Score : 9.9 Critical (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
  • CVE-2022-40242 – SSHを通じてUID=0(sysadmin)のデフォルトクレデンシャルの解読に成功
    • CVSS v3.1 Score : 8.3 High (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)
  • CVE-2022-2827 – APIを通じたUserの列挙
    • CVSS v3.1 Score : 7.5 High (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
• MegaRAC BMCは多くの大手サーバーメーカー（Dell, HPE, Lenovo等）で使用されているため、サーバーメーカーの脆弱性情報に注意しておきましょう。