May 31, 2022

Vulnerability Summary for the Week of May 16, 2022、その2

desigo -- dxr2 3件

Desigo TRA コンパクトルームステーション DXR2

  Desigo はビルディングオートメーションの機器ブランドらしい。dxr2はコンパクトルームステーションと呼ばれ、『シンプルな個室の制御から広いスペースのオフィス等広範囲な冷暖房や換気の制御に最適』とのこと。写真を見ると各戸に置くスマートホーム用の集中制御の箱といったところか。Etherインターフェースを備えているものもある。各戸のPCTVのネットワークとビル管理システムネットワークとは安全の為に分離されているべきと思うが、機器設計者の意図または無意識の前提の通りに使われないと、スマートホーム機器を乗っ取られたり、(私の妄想では)さらに監視カメラの乗っ取りにより私生活を覗き見される可能性もあるかも、という事か。今どきのスマートホームの課題がCISAに取り上げられているのだな。

 

3件の脆弱性のうち、一つのCVEについて、以下概要を記す。

 

CVE-2022-24044

Desigo DXR2 (全バージョン < V01.21.142.5-22), Desigo PXC3 (全バージョン < V01.21.142.4-18), Desigo PXC4 (全バージョン < V02.20.142.10-10884), Desigo PXC5 (全バージョン < V02.20.142.10-10884) において脆弱性が確認されました。このアプリケーションのログイン機能には、Password Spraying 攻撃および Credential Stuffing 攻撃への対策が施されていません。攻撃者は、この問題を利用してデバイス上の有効なユーザー名のリストを取得し、少なくとも1つのアカウントへのアクセスを取得するために、正確なパスワードスプレー攻撃またはクレデンシャルスタッフィング攻撃を実行することができます。

 

解決策 

アップデートすれば良い。※とは言っても、ビル管理事務所のオジサンに頼んだら直ぐ解決、というわけにも、いかないだろう。IoTの課題がココにも。

 

◆ethereum -- go_ethereum

イーサリアムの代表的なクライアント!Geth(Go-Ethereum)とは【初心者向け】(2018.03.14)

GethとはEthereum(イーサリアム)が提供しているクライアントソフトで、Go Ethereumの略称です。

Gethでできること、マイニング、資金移動、Ethereumのブロック履歴表示、スマートコントラクトなど

 

(スマートコントラクトとはEthereumの機能の1つで、ブロックチェーンのトランザクションに契約という概念を実装したものです。スマートコントラクトを利用した契約機能は、不動産取引が代表的な例と言えます。不動産自体に対して、ブロックチェーンにより所有者の証明を行い、売買契約に関してはスマートコントラクトにより行うことで、所有者確認と取引を瞬時に行うことができます。)

 

CVE-2022-29177 について

Go Ethereum は、Ethereum プロトコルの公式 Golang 実装です。バージョン 1.10.17 以前では、脆弱なノードが高い冗長性ログを使用するように設定されている場合、攻撃側ノードから送信された特別に細工された p2p メッセージを処理すると、クラッシュする可能性があります。Version 1.10.17 には、この問題に対処するパッチが含まれています。回避策としては、loglevel をデフォルトレベル (`INFO`) に設定することで、この攻撃を受けることはありません。

 

CNA:  GitHub, Inc. Base Score:  5.9 MEDIUM

 

fedora -- fedora

CVE-2022-1586 について

PCRE2 ライブラリの pcre2_jit_compile.c ファイルの compile_xclass_matchingpath() 関数に境界外読み出しの脆弱性が発見されました。これは、JIT コンパイルされた正規表現における unicode プロパティのマッチングに関する問題です。この問題は、JIT 内のケースレスマッチングで文字が完全に読み込まれていないために発生します。

 

NIST: NVD Base Score:  9.1 CRITICAL

 

解決策 パッチ適用

 

fedora -- vim 6件の脆弱性

 うち5件では、NIST: NVD Base Score:  7.8 HIGH

 

 いずれも、GitHub リポジトリの vim/vim の或るバージョンで、Buffer Overflow 等の脆弱性が見つかっています。

 

fujitsu -- multiple_products

CVE-2022-29516 について

富士通ネットワークIPCOMシリーズ(IPCOM EX2 IN(3200, 3500)IPCOM EX2 LB(1100, 3200, 3500)IPCOM EX2 SC(1100, 3200, 3500)IPCOM EX2 NW(1100, 3200, 3500)IPCOM EX2 DCIPCOM EX IN(2300, 2500, 2700), IPCOM EX LB(1100, 1300, 2300, 2500, 2700), IPCOM EX SC(1100, 1300, 2300, 2500, 2700), IPCOM EX NW(1100, 1300, 2300, 2500, 2700)) により、攻撃者は詳細不明のベクターを介して任意の OS コマンドを実行することが可能です。

 

解決策

ファームウェアのアップデート

 

gitblit -- gitblit 2件の脆弱性

CVE-2022-31267 は権限昇格の脆弱性

version 1.9.2で起きる。version 1.9.3version up すれば良い。

CVE-2022-31268 はディレクトリトラバーサル

version 1.9.3 の脆弱性!!

・いずれもCVEもリンク先にPoCが示されている。後者のパッチは未だ無い。

 

gitlab -- gitlab 3件の脆弱性

内、2件は以下の通り。

 

CVE-2022-1416 について

GitLab CE/EE  1.0.2 から 14.8.6 までのすべてのバージョン、14.9.0 から 14.9.4 までのすべてのバージョン、および 14.10.0 から 14.10.1 までのすべてのバージョンで、Pipeline エラーメッセージのデータのサニタイズの欠如により、攻撃者が制御した HTML タグと CSS スタイルのレンダリングが可能となる。

 

CNA:  GitLab Inc. Base Score:  4.3 MEDIUM

 

CVE-2022-1423 について

GitLab CE/EE  CI/CD キャッシュ機構における不適切なアクセス制御により、Developer 権限を持つ悪意のある行為者がキャッシュポイズニングを行い、保護されたブランチで任意のコードを実行される可能性があります

 

CNA:  GitLab Inc. Base Score:  7.1 HIGH

 

gnome -- gimp

CVE-2022-30067 について

GIMP 2.10.30 および 2.99.10 には、バッファオーバーフローの脆弱性があります。細工された XCF ファイルを通して、プログラムは膨大な量のメモリを割り当て、メモリ不足やプログラムのクラッシュを引き起こします。

 

NIST: NVD Base Score:  5.5 MEDIUM

 

hewlett_packard_enterprise -- oneview

CVE-2022-23706 について

HPE OneView7.0 より前のバージョンに、リモートクロスサイトスクリプティング(xss)の脆弱性が発見されました。HPE は、HPE OneView のこの脆弱性を解決するためのソフトウェアアップデートを提供しています。

 

NIST: NVD Base Score:  6.1 MEDIUM

 

hma -- vpn

CVE-2022-26634 について

HMA VPN v5.3.5913.0 には、引用されていないサービスパスが含まれており、攻撃者はシステムレベルまで特権をエスカレートさせることが可能です。

 

hms -- hms 全2件のうちクリティカルな1件は以下の通り。

CVE-2022-30011 について

HMS 1.0  appointment.php  POST でリクエストする際に、複数のパラメータで、SQL インジェクションの脆弱性につながる可能性があります。

 

NIST: NVD Base Score:  9.8 CRITICAL

 

hpe -- oneview

CVE-2022-28617

HPE OneView7.0 より前のバージョンに、セキュリティ制限をリモートでバイパスする脆弱性が発見されました。HPE は、HPE OneView のこの脆弱性を解決するためのソフトウェアアップデートを提供しています。

 

NIST: NVD Base Score:  9.8 CRITICAL

 

CVE-2022-28616

HPE OneView7.0 より前のバージョンに、リモート サーバーサイド リクエスト フォージェリ(ssrf)の脆弱性が発見されました。HPE は、HPE OneView のこの脆弱性を解決するためのソフトウェアアップデートを提供しています。

 

NIST: NVD Base Score:  9.8 CRITICAL

 

ibm -- datapower_gateway 全3件、内1件は以下の通り

CVE-2021-38872

IBM DataPower Gateway 10.0.2.0, 10.0.3.0, 10.0.1.0  10.0.1.4, 2018.4.1.0  2018.4.1.17 では、リモートユーザーが複数のリクエストでリソースを消費し、サービス拒否を引き起こすことが可能でした。IBM X-Force ID: 208348.

 

NIST: NVD Base Score:  7.5 HIGH

 

ibm -- websphere_application_server 

CVE-2022-22475

IBM WebSphere Application Server Liberty および Open Liberty 17.0.0.3 から 22.0.0.5 には、認証済みユーザーによる ID スプーフィングに対する脆弱性があります。IBM X-Force ID: 225603.

 

NIST: NVD Base Score:  6.5 MEDIUM

 

CVE-2022-22365

Ajax Proxy Web Application (AjaxProxy.war) が展開された IBM WebSphere Application Server 7.0, 8.0, 8.5, 9.0 には、中間者攻撃者が SSL サーバーのホスト名を偽装できる、スプーフィングに対する脆弱性が存在します。IBM X-Force ID: 220904.

 

jenkins関連、全27件のうち、一部のpluginをピックアップした。

 気になる人はソースでのチェックをお勧めします。

 

jenkins -- autocomplete_paraeter_plugin

CVE-2022-30969

Jenkins Autocomplete Parameter Plugin 1.1 およびそれ以前のバージョンには、クロスサイトリクエストフォージェリ(CSRFの脆弱性があり、被害者が管理者の場合、攻撃者はサンドボックス保護なしで任意のコードを実行することが可能です。

 

NIST: NVD Base Score:  8.8 HIGH

Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

 

jenkins -- ssh_plugin 全3件のうち1件は以下の通り。

CVE-2022-30958

Jenkins SSH Plugin 2.6.1 以前のバージョンには、クロスサイトリクエストフォージェリ(CSRF)の脆弱性があり、攻撃者は別の方法で取得した攻撃者指定の認証情報 ID を使用して、Jenkins に保存されている認証情報をキャプチャして攻撃者指定の SSH サーバに接続することが可能です。

 

NIST: NVD Base Score:  8.8 HIGH

Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

攻撃条件の複雑さ(AC) = (L)、必要な特権レベル(PR) = 不要(N)

 

jenkins -- wmi_windows_agents_plugin 全2件のうち1件は以下の通り。

CVE-2022-30950

Jenkins WMI Windows Agents Plugin 1.8以前には、Windows Remote Commandライブラリが含まれており、バッファオーバーフローの脆弱性があるため、名前付きパイプに接続できるユーザーが、Windowsエージェントマシン上でコマンドを実行することができる可能性があります

 

NIST: NVD Base Score:  8.8 HIGH

Vector:  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

攻撃条件の複雑さ(AC) = (L)、必要な特権レベル(PR) = (L)

 

konica_minolta -- bizhub_mfp 全3件の脆弱性のうち、2件は以下の通り。

※ MFPとは、複数の異なる機能を併せ持ったコンピュータ周辺機器のことで、通常はプリンタと他の機能(FAXやイメージスキャナ)を合わせ持った「プリンタ複合機」(デジタル複合機)を意味する。

 

CVE-2022-29588

2022-04-14以前のコニカミノルタbizhub MFPでは、/var/log/nginx/html/ADMINPASSおよび/etc/shadowファイルに平文のパスワード保存が使用されています。

 

NIST: NVD Base Score:  7.5 HIGH

Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

攻撃元区分(AVAttack Vector) = ネットワーク(N)

 

リンク先のサード パーティー アドバイザリーにはビジネス推奨として以下が記載されていた。

『コニカミノルタは、2020年の年明けに、非常に迅速にファームウェアとOSのパッチを提供しました。リモートファームウェア更新のためのリモートサービスプラットフォームがまだ完全に展開されていないため、ほとんどの機器について、このファームウェア更新はサービス技術者が手動で適用する必要があります。COVID-19が複数回ロックダウンしたことで、数十万台以上のデバイスに対するこのパッチ適用作業は大幅に遅延しました。

 

万が一、アップデートが届いていない場合は、コニカミノルタの担当者にご相談ください。

 

セックコンサルでは、セキュリティの専門家による徹底的なセキュリティレビューを実施し、すべてのセキュリティ問題を特定・解決することを推奨しています。さらに、開発ライフサイクルの早い段階で安全なソフトウェア設計を行い、ISMSを通じて安全なパッチ管理手順を適用することが必要です

 

SEC Consultは、「Someone call the patch manager - How COVID-19 left hundreds of thousands of printers vulnerable」と題したブログ記事も公開しており、考えられる攻撃経路の実例が掲載されています。』

 

※ 最後のパラグラフが特に興味深いので、赤色文字・下線を付けておいた。

 

CVE-2022-29586

2022-04-14 以前のコニカミノルタ製 bizhub MFP デバイスでは、Sandbox Escape が可能です。攻撃者は、USBポートにキーボードを取り付け、F12キーを押した後、キオスクモードから脱出する必要があります。

 

NIST: NVD Base Score:  7.4 HIGH

Vector:  CVSS:3.1/AV:P/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

 

lenovo 全9件の脆弱性のうち、一部の機器・ソフトについて以下に取り上げる。

 

lenovo -- personal_cloud_storage 全5件のうち、2件は以下の通り。

 

CVE-2021-42852

Lenovo Personal Cloud Storage の一部デバイスにコマンドインジェクションの脆弱性が報告されており、認証されたユーザーが細工したパケットをデバイスに送信することで、オペレーティングシステムのコマンドを実行される可能性があります。

 

CNA:  Lenovo Group Ltd. Base Score:  8.0 HIGH

Vector:  CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 

CVE-2021-42850

一部の Lenovo Personal Cloud Storage デバイスにおいて、Web インターフェースおよびシリアルポートの弱いデフォルトの管理者パスワードが報告されており、物理的またはローカルネットワークにアクセスできる攻撃者がデバイスに不正にアクセスできる可能性があります。

 

NIST: NVD Base Score:  7.8 HIGH Vector:  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CNA:  Lenovo Group Ltd. Base Score:  8.8 HIGH Vector:  CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

 

 CNAのスコアの方が辛い評価になっている。

 Lenovo Personal Cloud Storageとは、自宅のRAID 1 NAS 的なもので、外出先から内臓VPN越しにアクセスできる(機種もある)模様。

 

linux -- linux_kernel 全2件の脆弱性のうち、1件は以下の通り。

CVE-2022-1116

Linux Kernel  io_uring に整数オーバーフローまたはラップアラウンドの脆弱性があり、ローカルの攻撃者にメモリ破壊を引き起こし、root 権限を昇格させることが可能です。この問題は、以下の項目に影響します。Linux Kernel  5.4.189 以前のバージョン、および 5.4.24 以降のバージョン。

 

CNA:  Google Inc. Base Score:  7.8 HIGH 

Vector:  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 

リンク先にパッチがある。

 

microsoft -- windows-print_spooler_elevation_privilege_vulnerability

CVE-2022-30138

Windows Print Spooler の特権昇格の脆弱性。この CVE ID  CVE-2022-29104, CVE-2022-29132 と異なり、一意です。

 

CNA:  Microsoft Corporation Base Score:  7.8 HIGH

Vector:  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 

mitsubishi_electric -- melsec_iq-f 全2件

CVE-2022-25161

不適切な入力検証の脆弱性により、遠隔の無認証の攻撃者が特別に細工したパケットを送信することで、製品のプログラム実行や通信に DoS 状態を引き起こす可能性があります。復旧には、製品のシステムリセットが必要です。

対象製品は、以下の通り。

  • 三菱電機 MELSEC iQ-F シリーズ FX5U-xMy/z(x=32,64,80, y=T,R, z=ES,DS,ESS,DSS) 1.270 よりも前のバージョン、
  • 三菱電機 MELSEC iQ-F シリーズ FX5UC-xMy/z(x=32,64,96, y=T,R, z=D,DSS) 1.270 より前のバージョン、
  • 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MT/DS-TS 1.270より前のバージョン、
  • 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MT/DSS-TS 1.270より前のバージョン、
  • 三菱電機 MELSEC iQ-Fシリーズ FX5UC-32MR/DS-TS 1.270以前のバージョン、および
  • 三菱電機 MELSEC iQ-F シリーズ FX5UJ-xMy/z (x=24,40,60, y=T,R, z=ES,ESS) 1.030 より前のバージョン。

 

CVE-2022-25162

不適切な入力検証不備の脆弱性により、特別に細工したパケットの送信により、遠隔地の未認証攻撃者が製品の通信に一時的に DoS 状態を起こす可能性があります。

対象製品は以下の通り。

  • 三菱電機 MELSEC iQ-F シリーズ FX5U-xMy/z(x=32,64,80, y=T,R, z=ES,DS,ESS,DSS) 1.270 よりも前のバージョン、
  • 三菱電機 MELSEC iQ-F シリーズ FX5UC-xMy/z(x=32,64,96, y=T,R, z=D,DSS) 1.270 より前のバージョン、
  • 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MT/DS-TS 1.270より前のバージョン、
  • 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MT/DSS-TS 1.270より前のバージョン、
  • 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MR/DS-TS 1.270以前のバージョン、および
  • 三菱電機 MELSEC iQ-F シリーズ FX5UJ-xMy/z (x=24,40,60, y=T,R, z=ES,ESS) 1.030 より前のバージョン。

 

NIST: NVD Base Score:  N/A NVD score not yet provided.

 

三菱電機マイクロシーケンサMELSEC-Fシリーズ

基本性能の向上,駆動機器との連携プログラミング環境の改善をコンセプトに、 MELSEC iQ-Fシリーズとして新たに生まれ変わりました。(ベンダーサイトより)

  

出典

Bulletin (SB22-143)
Vulnerability Summary for the Week of May 16, 2022 (release date: May 24)


May 30, 2022

Vulnerability Summary for the Week of May 16, 2022、その1

※CISAの脆弱性概要(05/16週)から、気になったものをピックアップする。
 私のコメントは行頭(やパラグラフ頭)に「※」印を付した。


CISA Vulnerability Bulletinは、

米国国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)に過去1週間に記録された新しい脆弱性の概要を提供します。NVDはCISAがスポンサーとなっています。速報に掲載されている脆弱性には、まだCVSSスコアが割り当てられていない場合があります。CVSSスコアを含む最新の脆弱性エントリーは、NVDをご覧ください。

脆弱性は、

Common Vulnerabilities and Exposures (CVE) 脆弱性の命名基準に基づいており、Common Vulnerability Scoring System (CVSS) 基準によって決定される深刻度に従って整理されています。深刻度の高・中・低の区分は、以下のスコアに対応しています。

    高:CVSSの基本スコアが7.0~10.0である脆弱性
    中:CVSSのベーススコアが4.0~6.9の脆弱性
    低:CVSSのベーススコアが0.0~3.9の脆弱性

エントリには、

CISAが後援する組織や取り組みから提供された追加情報を含めることができます。この情報には、識別情報、値、定義、および関連リンクが含まれる場合があります。パッチ情報は利用可能な場合に提供されます。会報の情報の一部は、外部のオープンソースのレポートから編集されており、CISAの分析による直接的な結果ではないことに注意してください。


High Vulnerabilities

  There were no high vulnerabilities recorded this week.

Medium Vulnerabilities

  There were no medium vulnerabilities recorded this week.

Low Vulnerabilities

  There were no low vulnerabilities recorded this week.

※ここを、まじまじ見るのは久しぶりだが、近年、「該当なし」が特に増えたきがする。政府予算が円滑に回ってるのだろうか?

 

Severity Not Yet Assigned (深刻度未設定)

acronis -- 複数製品に複数の脆弱性

アクロニスインターナショナルGmbHは、スイスのシャフハウゼンに本社を置き、シンガポールにグローバル本社を置くグローバルテクノロジー企業です。(ウィキペディア)

1.CVE-2022-30990 

 安全でないフォルダーパーミッションによる機密情報漏洩。
 以下の製品が影響を受けます。

     Acronis Cyber Protect 15 (Linux) ビルド29240以前、
     Acronis Agent (Linux) ビルド28037以前   

 ※対策は、Security Updatesを適用すれば良い。

2.CVE-2022-30993 

 機密情報の平文送信。以下の製品が影響を受けます。
  Acronis Cyber Protect 15 (Linux、Windows) ビルド29240以前

 ※対策は、Security Updatesを適用すれば良い。

  ●その他、全10件弱

apache – shenyui 1件、tika 2件

※何れもDoS系の脆弱性があるが、最新版にすれば良い。


arm -- mali_gpu_kernel_driver、全3件、内1件は以下の通り。

Arm Mali GPU Kernel Driverには Use After Free 脆弱性があります。
 Midgard r28p0からr29p0まで、r30p0より前。
 Bifrost r17p0からr23p0まで、r24p0より前。
 およびValhall r19p0~r23p0 (r24p0以前)が該当します。


aruba_networks -- clearpass_policy_manager  全20件弱、内1件は以下の通り。

Aruba ClearPass Policy Manager のバージョンに、認証されたリモートコマンドインジェクションの脆弱性が発見されました。

6.10.4 以下、6.9.9 以下、6.8.9-HF2 以下、および 6.7.x 以下です。

Arubaは、このセキュリティ脆弱性に対応したClearPass Policy Managerのアップデートをリリースしました。


※他の脆弱性は認証後のxss、ssrf、リモート コマンド インジェクションや、
 リモート認証バイパス!、など組み合わせると特に危険度が高まりそう。
 該当者はアップデートを。

 

avast -- premium_security、全2件、内1件は以下の通り。

v21.11.2500 以前の Avast Premium Security のコンポーネント instup.exe および wsc_proxy.exe を介して複数の DLL ハイジャック脆弱性があり、攻撃者は細工した DLL ファイルを介して任意のコードを実行したりサービス拒否 (DoS) を引き起こしたりすることができます。

※色々あって手元では使わなくなった。
 該当者はupdateすれば良い。


bind -- bind

脆弱な構成では、named デーモンがアサーションに失敗して終了する場合があります。脆弱な構成とは、named.conf の listen-on 記述に http への参照を含む構成です。DNS over TLS (DoT) と DNS over HTTPS (DoH) の両方で TLS が使用されていますが、DoT のみを使用する構成は影響を受けません。BIND 9.18.0 -> 9.18.2 および BIND 9.19 開発ブランチのバージョン 9.19.0 に影響します。

  CVE-2022-1183 
   CNA:  Internet Systems Consortium (ISC)  Base Score:  7.5 HIGH


covid_19_travel_pass_management -- covid_19_travel_pass_management

Covid 19 Travel Pass Management 1.0では、コードパラメーターにSQLインジェクション攻撃への脆弱性があります。

 CVE-2022-30054
  NIST: NVD Base Score:  9.8 CRITICAL

 ※"Covid 19 Travel Pass Management"でググると、脆弱性情報ばかり。
  どんなデバイスのどんなアプリなのか、v1.1は有るのか、分からない。


d-link -- dir-825_ac1200_r2

D-LINK DIR-825 AC1200 R2 には、ディレクトリトラバーサルの脆弱性があります。攻撃者は、FTP サーバフォルダの「.../.../.../」の設定を使用して、ルータのルートフォルダを FTP アクセス用に設定することが可能です。これにより、FTP サーバーを経由してルーターのファイルシステム全体にアクセスすることができます。

 CVE-2022-29332 
     NIST: NVD Base Score:  6.5 MEDIUM


d-link -- dir816l_fw206b01

D-Link DIR816L_FW206b01 の getcfg.php コンポーネントに問題があり、攻撃者は細工したペイロードを介してデバイスにアクセスすることが可能です。

  CVE-2022-28956 
    NIST: NVD  Base Score:  9.8 CRITICAL

※先のFTPサーバディレクトリトラバーサルに比べて本件の方がCriticalと評価される根拠は何なのだろう?



出典

Bulletin (SB22-143)
Vulnerability Summary for the Week of May 16, 2022 (release date: May 24)
https://www.cisa.gov/uscert/ncas/bulletins/sb22-143

 

May 28, 2022

NIST SP 800-171暗号化とコンプライアンス:FAQ

NIST SP800-171と言えば、イマドキのセキュリティエンジニア必読だが、81枚にも及ぶボリュームだ。
一方、FAQの方は、骨子が読みやすくまとまっていそうなので、機械翻訳の上で、少々手を加えてみた。

以下は、FAQの内容である。
  ↓

連邦政府の請負業者と毎日協力していると、暗号化とNIST SP 800-171コンプライアンスに関する多くの質問があります。基本的な事と感じる人もいるかもしれませんが、誰もが情報技術の専門家であるとは限らず、多くの人がこの政府のコンプライアンスモンスターに自分で、または限られたリソースで取り組んでいます。だから、お手伝いしましょう。

暗号化とは何ですか?

NIST SP 800-171の目的での暗号化とは、ハードウェアまたはソフトウェアを使用して情報を暗号で保護し、意図された者のみ情報にアクセスできるようにすることを意味します。ファイル、データ、またはハードドライブが暗号化されている場合、権限のない人がその情報を持っていても、キーやパスワードを持っていないと、情報を読み取ることができませんでした。800-171で懸念される暗号化には、保存データと転送中のデータの2つの主要なタイプがあります。

保存データ(DAR: Data At Rest)の暗号化とは何ですか?

保存データの暗号化とは、デバイスに保存されている間のデータの暗号化です。電源を切った後に携帯電話のロックを解除し、PINを入力する必要がある場合は、そのデバイスでDAR暗号化を使用している可能性があります。もし誰かがPINを持っておらず、携帯電話の電源がオフでログインしていない場合、データにアクセスできません。

ワークステーション/ラップトップ/モバイルデバイス/サーバーで保存データ(DAR)暗号化が必要ですか?

NIST SP 800-171で保存データの暗号化が必要かどうかについて、答えは「場合による」という事です。DAR暗号化は、CUI(Controlled Unclassified Information)を格納するすべてのモバイルデバイス(ラップトップ、タブレット、携帯電話)に必要です。NIST SP 800-171準拠では、デスクトップまたはサーバーのDAR暗号化は必要ありません。  

NIST SP 800-171とは? 解説と対策https://www.manageengine.jp/solutions/nist_publications/nist_SP800-171/lp/

『米国政府は機密情報を(Classified Information, CI)、機密情報以外の重要情報を(Controlled Unclassified Information, CUI)として管理しています。

NIST SP 800-171は、機密情報以外の重要情報(CUI)を扱う民間企業が実施すべきセキュリティ対策をまとめたガイドラインです。』

NIST SP 800-53とは? 解説と対策https://www.manageengine.jp/solutions/nist_publications/nist_SP800-53/lp/

『NIST SP 800-53は、米国政府内の情報システムをより安全なものにし、効果的にリスク管理するためのガイドラインです。

.. 政府組織だけでなく民間組織においてもNIST SP 800-53を活用するよう推奨しています。』

800-171の観点からは、デスクトップとサーバーは施設の安全な境界内にあり、他の制御と保護が実施されます。これに関連する主なコントロールは、3.1.19「モバイルデバイスでCUIを暗号化する」です。

特定の連邦契約要件や別のコンプライアンス要件など、他の要件の下でサーバーまたはデスクトップにDAR暗号化を利用する必要がある場合があることに注意してください。DAR暗号化は、デバイスの紛失や盗難によるデータの損失を防ぐための安価で簡単な保険です。

転送中のデータの暗号化(DIT)とは正確には何ですか?

転送中のデータの暗号化は、移動中のデータの暗号化です。これにより、機密情報がネットワークまたはインターネット上を移動するときに、機密情報への不正アクセスを防ぐことができます。これにより、機密情報の「スヌーピング」が防止されます。銀行などのWebサイトにサインオンすると、DIT暗号化を使用して、信頼できないパブリックインターネットからトランザクションを安全に保つことができます。

では、転送中のCUIデータの暗号化が必要ですか?

800-171準拠の情報システムの境界内では、データの移動時(DIT: Data In Transit)にデータを暗号化する必要はありませんが、インターネットなどの信頼できない安全でないネットワーク間を移動するとすぐに、データを暗号化する必要があります。  

最も安全なWebサイト、政府のWebサイト、銀行のWebサイト、そして次第に通常のインターネットでさえ、このタイプの暗号化を実施するようになったため、機密データがインターネット上で盗聴されることはありません。

DIT暗号化に関連する統制は、主に3.13.8、「代替の物理的保護手段によって保護されていない限り、転送中にCUIが不正に開示されるのを防ぐための暗号化メカニズムを実装する」です。  

どのタイプの暗号化製品を使用する必要がありますか?

多くの場合、この質問は最も差し迫ったものです。政府は1つのベンダーをサポートまたは承認せず、1つの制限付きで請負業者に選択を任せます。CUIを保護するために使用されるデータ暗号化は、FIPS検証済み(FIPS: Federal Information Processing Standards、連邦情報処理標準)である必要があります。

FIPSの「準拠」暗号化とは何ですか?AESは十分ではありませんか?  

FIPS検証済みとは、製品が適切に設計され、期待どおりに機能していることを確認するために、通常、ラボなどの承認された認証局を介して、製品が暗号化モジュールを政府に提出したことを意味します。  

連邦政府のコンプライアンスの観点から、暗号化がFIPSで検証されていない場合は、プレーンテキストである可能性があります。実際のアプリケーションでは、これは正しくありませんが、政府のコンプライアンスの観点からは正しいです。暗号化モジュールを取得するプロセス全体は時間がかかり、複雑であり、ほとんどのベンダーは、連邦政府の人口統計を対象としない限り、それを通過することを望んでいません。  

ベンダーの製品がFIPSで検証されているかどうかを確認する方法は、一つだけあります。政府が設定した検証システムを介するものです。お気に入りのベンダーの営業チームは、FIPSに準拠していることを伝えたいと思います。これは通常、AESなどの承認された暗号化モジュールを使用していることを意味しますが、ほとんどの場合、実際にはFIPSで検証されていません。  

ベンダーに尋ねる必要があるのは、暗号化モジュールの証明書番号が何であるかだけです。次に、ここでその証明書番号を検索でき ます。
( https://csrc.nist.gov/Projects/cryptographic-module-validation-program/Validated-Modules/Search )

選択した製品の証明書を取得したら、それをシステムセキュリティプラン(SSP)の証拠ドキュメントに追加できます。しかし、それはまったく別のブログ投稿です。

これらすべてを結び付けるために、請負業者が見落としている非常に一般的なことの1つは、モバイルデバイスでの暗号化のFIPS検証です。  

モバイルデバイスはFIPSで検証および暗号化されていますか?  

いくつかのAndroidフォンはFIPS検証済みであり、iPhoneは通常、一定期間内に検証されますが、多くの場合、iOSはFIPS検証よりもバージョンが遅れています。CUIを含む可能性のあるモバイル用のBYOD(個人所有のデバイスの持ち込み)設定がある場合は、ユーザーが使用しているデバイスやFIPS検証済みのデバイスがわからない可能性があるため、特に注意する必要があります。この投稿の日付の時点では、Outlook MobileもIntuneもFIPSで検証されていません。

ラップトップで、BitLocker暗号化を使用している場合、システムはFIPSモードになっていますか?BitLockerはFIPSで検証されていますが、FIPSモードである必要があります

NIST 800-171コンプライアンスとは何ですか?

NIST 800-171準拠とは、通常、組織がNIST SP 800-171統制に準拠するための努力をしたことを意味し ます。これは、非連邦システムにおける制御された未分類情報の保護に重点を置いています。つまり、連邦政府の情報システム保護の範囲を超えて、商業空間で政府の機密データを保護します。

NIST 800-171 Compliance Services https://www.fullscopeit.com/it-support/nist-compliance-services/

NIST SP 800-171の現在のバージョンには、アクセス制御、インシデント対応、人員のセキュリティなど、14の異なる領域に110の制御があります。各領域には、いくつかの基本的なセキュリティ要件と派生したセキュリティ要件があります。これらの要件を完了しようとしている組織は、多くの場合、完了する項目の簡単なNIST 800 171コンプライアンスチェックリストを探しますが、要件にはかなりの時間とリソースが必要です。それほど単純ではありません。

組織がNIST800-171に準拠していると誰かが言った場合、それらはいくつかのことを意味する可能性があります。

  1. 彼らの組織は現在、システムセキュリティ計画(SSP)を実施しており、少なくとも将来のある時点で残りの109の統制に準拠するための行動計画とマイルストーン(POAM)を実施しています。
  2. 彼らの組織は現在、110のコントロールの数に準拠しており、まだ実装していない残りのコントロールの行動計画とマイルストーン(POAM: Plan Of Action and Milestones)を持っています。これは、特に時間やリソースを消費することを証明している可能性があります。
  3. 彼らの組織は、NIST SP 800-171内から110の要件をすべて完了しており、「完全に準拠している」と考えています。

2018年の終わりまで、最初のオプションが最も費用対効果の高いルートであると考えた多くの連邦請負業者を見ました。ただし、政府機関が授与前および授与後のプロセスでSSPおよびPOAMを検討し始めるにつれて、これは連邦契約の中小企業の世界で急速に変化しています。プライムは、執行とサプライチェーンの調査も強化しました。NIST800-171に準拠していることを確認する単一ページのチェックボックスフォームは、もはや見られませんが、代わりに詳細な質問書、完全なSSPの要求、POAMの詳細なレビューが行われています。

NIST 800-171に関するもう1つの重要な注意事項 – 過剰なコストや実装の難しさなど、他のフレームワークで見られるような従来のコンプライアンスの例外は見られません。会社と契約する代理店のCIOから書面による例外がない限り、遵守する必要があります。そうでない場合、それはPOAMにある必要があり、代理店は契約の授与中に管理された情報の保護の穴を検討することができます(そしておそらくそうするでしょう)。  

NISTは何の略ですか?

NISTは、National Institute of Standards and Technology の略です。米国国立標準技術研究所と訳されます。NISTは米国商務省の一部であり、連邦情報技術標準の多くを作成する責任があります。NISTは、とりわけ情報技術に関連するほとんどすべての優れた参考資料をリリースしています。

NIST認定を取得するにはどうすればよいですか?

NIST 800-171のことでしたら、取得はできません。現在、NIST 800-171認定はありません。あなたにそれを売ろうとしている人が居たら、誰であっても距離を置くべきです。他のいくつかのNIST標準には、NIST 800-53やFedRAMP承認など、関連する認証または検証が含まれている場合がありますが、連邦請負業者として、NISTの認証について心配する必要はありません。NIST 800-171は現在、コンプライアンスについて自己評価されています。政府契約の顧客やプライムは、管理された非機密情報のセキュリティに関する要件を遵守しているかどうかを確認するために、システムセキュリティ計画(SSP)や行動計画・マイルストーン(POAM)の閲覧を求めるなど、何らかの形であなたに情報を送る可能性があります。

これらのタイプの問題の解決策が必要な場合は、お気軽に  お問い合わせください。
 https://www.fullscopeit.com/contact/
私たちがお手伝いします。

CISAとDoDが5Gセキュリティ評価プロセス調査研究を発表(05/26)

 CISAと国防総省(DoD)は、連邦政府機関向けの「5Gセキュリティ評価プロセス調査研究」を発表しました。第5世代(5G)携帯電話ネットワーク技術が提供する新しい機能、能力、サービスは、ミッションとビジネスオペレーションを変革することができます。連邦政府機関は最終的に、ローバンド、ミッドバンド、ハイバンドのスペクトルという異なる5G利用シナリオを適用することになるでしょう。

 この研究は、提案されている5Gセキュリティ評価プロセスの概要を提供し、プロセスを民間の5Gネットワークのユースケースに適用して、包括的なプロセス内の各ステップの考慮事項を実証しています。この研究は、CISA、国土安全保障省の科学技術理事会、国防総省の研究技術担当次官による共同作業です。

 本研究で詳述された提案プロセスは、5G対応システムのリスク管理フレームワーク(*1)のシステムレベル「準備」段階における政府機関の活動を支援することができ、連邦政府のプログラムおよびプロジェクト管理者は、必要な評価において本研究の反復可能な手法を使用する必要があります。CISAは、5G導入に関わる連邦政府のプログラムおよびプロジェクト管理者に対し、CISA Executive Assistant DirectorのEric Goldstein氏によるブログ記事、DHS S&T、DOD Introduce an Assessment into the 5G Security Evaluation Process (*2)、(この研究にリンクしています)を確認するよう推奨しています。


参考

*1 NIST Risk Management Framework

https://csrc.nist.gov/Projects/Risk-Management


*2 CISA, DHS S&T, DoD Introduce Results of an Assessment
   into the 5G Security Evaluation Process (05/26)

https://www.cisa.gov/blog/2022/05/26/cisa-dhs-st-dod-introduce-results-assessment-5g-security-evaluation-process


出典

CISA and DoD Release 5G Security Evaluation Process Investigation Study (05/26)

https://www.cisa.gov/uscert/ncas/current-activity/2022/05/26/cisa-and-dod-release-5g-security-evaluation-process-investigation