情報セキュリティインシデント
28.Sep.2021
脆弱性がまたハッカーの格好の的に。どうサプライチェーンのセキュリティリスクを低減するか
統合アクセスデバイス(IAD)でのセキュリティ問題が、最終的には100万台以上のデバイスに波及
この脆弱性は、数十社のメーカー、100万台以上のデバイスに影響を与える恐れがある、パストラバーサルに分類される脆弱性です。ハッカーたちは認証ステップを省略し、クライアントの任意のディレクトリを閲覧可能で、一旦攻撃に悪用されるとクライアントのコントロール権や、ルート権限を入手できる恐れがあります。CVE-2021-20090はCVSSv3スコアで9.8(最大10)とされているとても危険な脆弱性です。
パストラバーサルは通常、特殊文字の組み合わせた特殊な文字列であり、本来制限されているファイルのパスにアクセスし、直接任意のパスのファイルを読み取ることができます。CVE-2021-20090を例に挙げると、影響を受けた製品のWeb管理画面において、一部の例外リスト(バイパスリスト)が設定される恐れがあります。このリスト(/images, /js, /css)には認証を行わずとも直接読み取ることができるパスなどを設定され、ハッカーがURL内に例外リストのパスを埋め込みWeb管理画面では不正な方法でHTTPリクエストを行い認証してしまいます。
このような脆弱性は利便性が高いため、ハッカー集団がMiraiなどのマルウェアを不正に仕込むために悪用しているとの報告もあります。
この種類の脆弱性への対策方法としては、一般的にインプットデータの検査や、セッションIDを検査しユーザーステータスを確認するなど、IPアドレスでユーザの認証ステータスを確認する以外の方法が推奨されます。
パストラバーサルは通常、特殊文字の組み合わせた特殊な文字列であり、本来制限されているファイルのパスにアクセスし、直接任意のパスのファイルを読み取ることができます。CVE-2021-20090を例に挙げると、影響を受けた製品のWeb管理画面において、一部の例外リスト(バイパスリスト)が設定される恐れがあります。このリスト(/images, /js, /css)には認証を行わずとも直接読み取ることができるパスなどを設定され、ハッカーがURL内に例外リストのパスを埋め込みWeb管理画面では不正な方法でHTTPリクエストを行い認証してしまいます。
このような脆弱性は利便性が高いため、ハッカー集団がMiraiなどのマルウェアを不正に仕込むために悪用しているとの報告もあります。
この種類の脆弱性への対策方法としては、一般的にインプットデータの検査や、セッションIDを検査しユーザーステータスを確認するなど、IPアドレスでユーザの認証ステータスを確認する以外の方法が推奨されます。
チップレベルの脆弱性すら、ソフトウェアサプライチェーンの脅威に
デバイス自体が脆弱性の影響を受ける以外に、最近ではチップレベルの脆弱性も懸念されるようになりました。理由の一つにSoC(System On Chip)の採用が進んできたことが挙げられます。SoCは様々な機能が提供されており、1つのシステムが単一のチップに統合されとても便利である為です。最近では大手SoCメーカーのチップに脆弱性(CVE-2021-35392,CVE-2021-35393,CVE-2021-35394,CVE-2021-35395)が発見され、ハッカーは任意の脆弱性を利用し攻撃を仕掛けています。
特に、CVE-2021-35394とCVE-2021-35395はCVSS v3スコア9.8と高リスクとされています
- CVE-2021-35394 - UDPServer MPのバッファオーバーフロー及びコマンドインジェクションの恐れ
- CVE-2021-35395 - SDKのWebインターフェイス、バッファオーバーフローの恐れ。既にMiraiなどのボットネットに悪用されています
- CVE-2021-35392/CVE-2021-35393 - ヒープバッファオーバーフローと、スタックバッファオーバーフローがそれぞれUPnPとSSDPサービスに存在する恐れ。CVSSスコアは8.1と他のよりも引くが、UPnPは大多数のデバイスで使用されているサービスの為、サプライチェーンへの影響度は高い
ソフトウェアサプライチェーンセキュリティ(Software Supply Chain Security)
上記でも紹介した通り、製品の開発にはコード設計の欠陥やサードパーティーソフトウェアに起因する脆弱性など、最終的に製品の中に紛れ込んでしまう脆弱性が存在してしまいます。それらはブランドイメージ低下につながりかねない問題です。
現在のソフトウェアサプライチェーンは世界中で検討されている喫緊の課題であり、サプライチェーンのどこか1つでもリスクを抱えている場合、大きな影響を与え最終的には想像を超える連鎖反応を起こす可能性すらあります。
前述の脆弱性は、様々な製造元において複数の製品に影響を与えており、例えば:ホームゲートウェイ、ネットワークルーター、Wi-Fi中継器、IPカメラやIoT玩具など。全て同じ脆弱性を抱えたソースを利用しているため、最終的には100万台以上にも上る影響となりました。
このような問題を予防、素早く対応する為に、企業内では情報セキュリティのインシデント対応フローを策定し、その中でも製品の情報セキュリティ検査、またはセキュリティインシデント発生後の対応策の策定などが求められます。これらはサイバー攻撃のリスクが増加の一途をたどる現在ではとても重要なことですが、十分に対応できている企業は多くありません。
リソースも限られている状況では、初期段階で最も重要視されるのは、どう高いROIで素早く基本的なセキュリティインシデントに対する防御策を確立できるかです。その中でも最も有効的なのが自動化ソリューションを導入し、合わせ関連する認証を取得する方法が多くのお客様で行われている方法です。
現在のソフトウェアサプライチェーンは世界中で検討されている喫緊の課題であり、サプライチェーンのどこか1つでもリスクを抱えている場合、大きな影響を与え最終的には想像を超える連鎖反応を起こす可能性すらあります。
前述の脆弱性は、様々な製造元において複数の製品に影響を与えており、例えば:ホームゲートウェイ、ネットワークルーター、Wi-Fi中継器、IPカメラやIoT玩具など。全て同じ脆弱性を抱えたソースを利用しているため、最終的には100万台以上にも上る影響となりました。
このような問題を予防、素早く対応する為に、企業内では情報セキュリティのインシデント対応フローを策定し、その中でも製品の情報セキュリティ検査、またはセキュリティインシデント発生後の対応策の策定などが求められます。これらはサイバー攻撃のリスクが増加の一途をたどる現在ではとても重要なことですが、十分に対応できている企業は多くありません。
リソースも限られている状況では、初期段階で最も重要視されるのは、どう高いROIで素早く基本的なセキュリティインシデントに対する防御策を確立できるかです。その中でも最も有効的なのが自動化ソリューションを導入し、合わせ関連する認証を取得する方法が多くのお客様で行われている方法です。
どうセキュリティインシデント対策を実施するか
IoTデバイス向けの国際認証を取得
現在、様々な協会や組織がIoTデバイスのセキュリティに関する要件を公開しています。例えば:北米のCTIA、EUのETSI EN 303 645、英国のGSMA、日本のCCDS、国際共通のioXtなどが挙げらます。これらで求められるセキュリティ要件に適合することは、製品の安全性を高め、国際競争力の向上に寄与します。弊社では様々な協会や組織の認定サイバーセキュリティーラボとして活動しており、お客様にサービスとして提供しています。
SecDevice
脆弱性自動検出ツールのSecDeviceでは、パストラバーサルの検証も含め、CVE-2021-20090などの既知の脆弱性の検証を行えます。また、ファジングテストを行うことにより製品に潜む未知の脆弱性も炙り出し、リコールなど様々な企業リスクを低減することが可能です。
SecSAM
OSSリスク管理システムのSecSAMでは、SBOM(ソフトウェア部品表)出の管理、ファームウェアやコンポーネントの管理など、ソフトウェアサプライチェーンの透明性を担保する為の様々な機能を備えています。また、CBOM(サイバーセキュリティ部品表)を利用し、脆弱性の情報やインシデントの情報など統合的に製品の開発時、運用時に必要な管理体制を一元的に管理可能です。
Reference:
https://zh-tw.tenable.com/security/research/tra-2021-13?tns_redirect=true
https://www.ithome.com.tw/news/146091
https://nosec.org/home/detail/4822.html
https://www.ithome.com.tw/news/146236
https://www.iot-inspector.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/
Reference:
https://zh-tw.tenable.com/security/research/tra-2021-13?tns_redirect=true
https://www.ithome.com.tw/news/146091
https://nosec.org/home/detail/4822.html
https://www.ithome.com.tw/news/146236
https://www.iot-inspector.com/blog/advisory-multiple-issues-realtek-sdk-iot-supply-chain/
