Vulnerability Summary for the Week of May 16, 2022、その２

◆desigo -- dxr2　３件

・Desigo TRA コンパクトルームステーション DXR2

※  Desigo はビルディングオートメーションの機器ブランドらしい。dxr2はコンパクトルームステーションと呼ばれ、『シンプルな個室の制御から広いスペースのオフィス等広範囲な冷暖房や換気の制御に最適』とのこと。写真を見ると各戸に置くスマートホーム用の集中制御の箱といったところか。Etherインターフェースを備えているものもある。各戸のPCやTVのネットワークとビル管理システムネットワークとは安全の為に分離されているべきと思うが、機器設計者の意図または無意識の前提の通りに使われないと、スマートホーム機器を乗っ取られたり、（私の妄想では）さらに監視カメラの乗っ取りにより私生活を覗き見される可能性もあるかも、という事か。今どきのスマートホームの課題がCISAに取り上げられているのだな。

 

３件の脆弱性のうち、一つのCVEについて、以下概要を記す。

 

・CVE-2022-24044

Desigo DXR2 (全バージョン < V01.21.142.5-22), Desigo PXC3 (全バージョン < V01.21.142.4-18), Desigo PXC4 (全バージョン < V02.20.142.10-10884), Desigo PXC5 (全バージョン < V02.20.142.10-10884) において脆弱性が確認されました。このアプリケーションのログイン機能には、Password Spraying 攻撃および Credential Stuffing 攻撃への対策が施されていません。攻撃者は、この問題を利用してデバイス上の有効なユーザー名のリストを取得し、少なくとも1つのアカウントへのアクセスを取得するために、正確なパスワードスプレー攻撃またはクレデンシャルスタッフィング攻撃を実行することができます。

 

・解決策　

アップデートすれば良い。※とは言っても、ビル管理事務所のオジサンに頼んだら直ぐ解決、というわけにも、いかないだろう。IoTの課題がココにも。

 

◆ethereum -- go_ethereum

・イーサリアムの代表的なクライアント！Geth（Go-Ethereum）とは【初心者向け】(2018.03.14)

GethとはEthereum（イーサリアム）が提供しているクライアントソフトで、Go Ethereumの略称です。

Gethでできること、マイニング、資金移動、Ethereumのブロック履歴表示、スマートコントラクトなど

 

（スマートコントラクトとはEthereumの機能の1つで、ブロックチェーンのトランザクションに契約という概念を実装したものです。スマートコントラクトを利用した契約機能は、不動産取引が代表的な例と言えます。不動産自体に対して、ブロックチェーンにより所有者の証明を行い、売買契約に関してはスマートコントラクトにより行うことで、所有者確認と取引を瞬時に行うことができます。）

 

・CVE-2022-29177 について

Go Ethereum は、Ethereum プロトコルの公式 Golang 実装です。バージョン 1.10.17 以前では、脆弱なノードが高い冗長性ログを使用するように設定されている場合、攻撃側ノードから送信された特別に細工された p2p メッセージを処理すると、クラッシュする可能性があります。Version 1.10.17 には、この問題に対処するパッチが含まれています。回避策としては、loglevel をデフォルトレベル (`INFO`) に設定することで、この攻撃を受けることはありません。

 

CNA:  GitHub, Inc.　Base Score:  5.9 MEDIUM

 

◆fedora -- fedora

・CVE-2022-1586 について

PCRE2 ライブラリの pcre2_jit_compile.c ファイルの compile_xclass_matchingpath() 関数に境界外読み出しの脆弱性が発見されました。これは、JIT コンパイルされた正規表現における unicode プロパティのマッチングに関する問題です。この問題は、JIT 内のケースレスマッチングで文字が完全に読み込まれていないために発生します。

 

NIST: NVD　Base Score:  9.1 CRITICAL

 

解決策　パッチ適用

 

◆fedora -- vim　6件の脆弱性

　うち5件では、NIST: NVD　Base Score:  7.8 HIGH

 

　いずれも、GitHub リポジトリの vim/vim の或るバージョンで、Buffer Overflow 等の脆弱性が見つかっています。

 

◆fujitsu -- multiple_products

・CVE-2022-29516 について

富士通ネットワークIPCOMシリーズ（IPCOM EX2 IN(3200, 3500)、IPCOM EX2 LB(1100, 3200, 3500)、IPCOM EX2 SC(1100, 3200, 3500)、IPCOM EX2 NW(1100, 3200, 3500)、IPCOM EX2 DC、IPCOM EX IN(2300, 2500, 2700), IPCOM EX LB(1100, 1300, 2300, 2500, 2700), IPCOM EX SC(1100, 1300, 2300, 2500, 2700), IPCOM EX NW(1100, 1300, 2300, 2500, 2700)) により、攻撃者は詳細不明のベクターを介して任意の OS コマンドを実行することが可能です。

 

・解決策

ファームウェアのアップデート

 

◆gitblit -- gitblit　2件の脆弱性

・CVE-2022-31267 は権限昇格の脆弱性

version 1.9.2で起きる。version 1.9.3にversion up すれば良い。

・CVE-2022-31268 はディレクトリトラバーサル

version 1.9.3 の脆弱性!!

・いずれもCVEもリンク先にPoCが示されている。後者のパッチは未だ無い。

 

◆gitlab -- gitlab　３件の脆弱性

内、２件は以下の通り。

 

・CVE-2022-1416 について

GitLab CE/EE の 1.0.2 から 14.8.6 までのすべてのバージョン、14.9.0 から 14.9.4 までのすべてのバージョン、および 14.10.0 から 14.10.1 までのすべてのバージョンで、Pipeline エラーメッセージのデータのサニタイズの欠如により、攻撃者が制御した HTML タグと CSS スタイルのレンダリングが可能となる。

 

CNA:  GitLab Inc.　Base Score:  4.3 MEDIUM

 

・CVE-2022-1423 について

GitLab CE/EE の CI/CD キャッシュ機構における不適切なアクセス制御により、Developer 権限を持つ悪意のある行為者がキャッシュポイズニングを行い、保護されたブランチで任意のコードを実行される可能性があります。

 

CNA:  GitLab Inc.　Base Score:  7.1 HIGH

 

◆gnome -- gimp

・CVE-2022-30067 について

GIMP 2.10.30 および 2.99.10 には、バッファオーバーフローの脆弱性があります。細工された XCF ファイルを通して、プログラムは膨大な量のメモリを割り当て、メモリ不足やプログラムのクラッシュを引き起こします。

 

NIST: NVD　Base Score:  5.5 MEDIUM

 

◆hewlett_packard_enterprise -- oneview

・CVE-2022-23706 について

HPE OneViewの7.0 より前のバージョンに、リモートクロスサイトスクリプティング（xss）の脆弱性が発見されました。HPE は、HPE OneView のこの脆弱性を解決するためのソフトウェアアップデートを提供しています。

 

NIST: NVD　Base Score:  6.1 MEDIUM

 

◆hma -- vpn

・CVE-2022-26634 について

HMA VPN v5.3.5913.0 には、引用されていないサービスパスが含まれており、攻撃者はシステムレベルまで特権をエスカレートさせることが可能です。

 

◆hms -- hms　全2件のうちクリティカルな１件は以下の通り。

・CVE-2022-30011 について

HMS 1.0 で appointment.php を POST でリクエストする際に、複数のパラメータで、SQL インジェクションの脆弱性につながる可能性があります。

 

NIST: NVD　Base Score:  9.8 CRITICAL

 

◆hpe -- oneview

・CVE-2022-28617

HPE OneViewの7.0 より前のバージョンに、セキュリティ制限をリモートでバイパスする脆弱性が発見されました。HPE は、HPE OneView のこの脆弱性を解決するためのソフトウェアアップデートを提供しています。

 

NIST: NVD　Base Score:  9.8 CRITICAL

 

・CVE-2022-28616

HPE OneViewの7.0 より前のバージョンに、リモート サーバーサイド リクエスト フォージェリ（ssrf）の脆弱性が発見されました。HPE は、HPE OneView のこの脆弱性を解決するためのソフトウェアアップデートを提供しています。

 

NIST: NVD Base Score:  9.8 CRITICAL

 

◆ibm -- datapower_gateway　全3件、内1件は以下の通り

・CVE-2021-38872

IBM DataPower Gateway 10.0.2.0, 10.0.3.0, 10.0.1.0 ～ 10.0.1.4, 2018.4.1.0 ～ 2018.4.1.17 では、リモートユーザーが複数のリクエストでリソースを消費し、サービス拒否を引き起こすことが可能でした。IBM X-Force ID: 208348.

 

NIST: NVD　Base Score:  7.5 HIGH

 

◆ibm -- websphere_application_server 

・CVE-2022-22475

IBM WebSphere Application Server Liberty および Open Liberty 17.0.0.3 から 22.0.0.5 には、認証済みユーザーによる ID スプーフィングに対する脆弱性があります。IBM X-Force ID: 225603.

 

NIST: NVD　Base Score:  6.5 MEDIUM

 

・CVE-2022-22365

Ajax Proxy Web Application (AjaxProxy.war) が展開された IBM WebSphere Application Server 7.0, 8.0, 8.5, 9.0 には、中間者攻撃者が SSL サーバーのホスト名を偽装できる、スプーフィングに対する脆弱性が存在します。IBM X-Force ID: 220904.

 

◆jenkins関連、全27件のうち、一部のpluginをピックアップした。

　気になる人はソースでのチェックをお勧めします。

 

◆jenkins -- autocomplete_paraeter_plugin

・CVE-2022-30969

Jenkins Autocomplete Parameter Plugin 1.1 およびそれ以前のバージョンには、クロスサイトリクエストフォージェリ（CSRF）の脆弱性があり、被害者が管理者の場合、攻撃者はサンドボックス保護なしで任意のコードを実行することが可能です。

 

NIST: NVD　Base Score:  8.8 HIGH

Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

 

◆jenkins -- ssh_plugin　全３件のうち１件は以下の通り。

・CVE-2022-30958

Jenkins SSH Plugin 2.6.1 以前のバージョンには、クロスサイトリクエストフォージェリ（CSRF）の脆弱性があり、攻撃者は別の方法で取得した攻撃者指定の認証情報 ID を使用して、Jenkins に保存されている認証情報をキャプチャして攻撃者指定の SSH サーバに接続することが可能です。

 

NIST: NVD　Base Score:  8.8 HIGH

Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

攻撃条件の複雑さ(AC) = 低(L)、必要な特権レベル(PR) = 不要(N)

 

◆jenkins -- wmi_windows_agents_plugin　全２件のうち１件は以下の通り。

・CVE-2022-30950

Jenkins WMI Windows Agents Plugin 1.8以前には、Windows Remote Commandライブラリが含まれており、バッファオーバーフローの脆弱性があるため、名前付きパイプに接続できるユーザーが、Windowsエージェントマシン上でコマンドを実行することができる可能性があります。

 

NIST: NVD　Base Score:  8.8 HIGH

Vector:  CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

攻撃条件の複雑さ(AC) = 低(L)、必要な特権レベル(PR) = 低(L)

 

◆konica_minolta -- bizhub_mfp　全３件の脆弱性のうち、２件は以下の通り。

※　MFPとは、複数の異なる機能を併せ持ったコンピュータ周辺機器のことで、通常はプリンタと他の機能（FAXやイメージスキャナ）を合わせ持った「プリンタ複合機」（デジタル複合機）を意味する。

 

・CVE-2022-29588

2022-04-14以前のコニカミノルタbizhub MFPでは、/var/log/nginx/html/ADMINPASSおよび/etc/shadowファイルに平文のパスワード保存が使用されています。

 

NIST: NVD　Base Score:  7.5 HIGH

Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

攻撃元区分(AV：Attack Vector) = ネットワーク(N)

 

リンク先のサード パーティー アドバイザリーにはビジネス推奨として以下が記載されていた。

『コニカミノルタは、2020年の年明けに、非常に迅速にファームウェアとOSのパッチを提供しました。リモートファームウェア更新のためのリモートサービスプラットフォームがまだ完全に展開されていないため、ほとんどの機器について、このファームウェア更新はサービス技術者が手動で適用する必要があります。COVID-19が複数回ロックダウンしたことで、数十万台以上のデバイスに対するこのパッチ適用作業は大幅に遅延しました。

 

万が一、アップデートが届いていない場合は、コニカミノルタの担当者にご相談ください。

 

セックコンサルでは、セキュリティの専門家による徹底的なセキュリティレビューを実施し、すべてのセキュリティ問題を特定・解決することを推奨しています。さらに、開発ライフサイクルの早い段階で安全なソフトウェア設計を行い、ISMSを通じて安全なパッチ管理手順を適用することが必要です。

 

SEC Consultは、「Someone call the patch manager - How COVID-19 left hundreds of thousands of printers vulnerable」と題したブログ記事も公開しており、考えられる攻撃経路の実例が掲載されています。』

 

※　最後のパラグラフが特に興味深いので、赤色文字・下線を付けておいた。

 

・CVE-2022-29586

2022-04-14 以前のコニカミノルタ製 bizhub MFP デバイスでは、Sandbox Escape が可能です。攻撃者は、USBポートにキーボードを取り付け、F12キーを押した後、キオスクモードから脱出する必要があります。

 

NIST: NVD　Base Score:  7.4 HIGH

Vector:  CVSS:3.1/AV:P/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

 

◆lenovo　全９件の脆弱性のうち、一部の機器・ソフトについて以下に取り上げる。

 

◆lenovo -- personal_cloud_storage　全５件のうち、２件は以下の通り。

 

・CVE-2021-42852

Lenovo Personal Cloud Storage の一部デバイスにコマンドインジェクションの脆弱性が報告されており、認証されたユーザーが細工したパケットをデバイスに送信することで、オペレーティングシステムのコマンドを実行される可能性があります。

 

CNA:  Lenovo Group Ltd.　Base Score:  8.0 HIGH

Vector:  CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 

・CVE-2021-42850

一部の Lenovo Personal Cloud Storage デバイスにおいて、Web インターフェースおよびシリアルポートの弱いデフォルトの管理者パスワードが報告されており、物理的またはローカルネットワークにアクセスできる攻撃者がデバイスに不正にアクセスできる可能性があります。

 

NIST: NVD　Base Score:  7.8 HIGH　Vector:  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CNA:  Lenovo Group Ltd.　Base Score:  8.8 HIGH　Vector:  CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

 

※ CNAのスコアの方が辛い評価になっている。

※ Lenovo Personal Cloud Storageとは、自宅のRAID 1 NAS 的なもので、外出先から内臓VPN越しにアクセスできる（機種もある）模様。

 

◆linux -- linux_kernel　全２件の脆弱性のうち、１件は以下の通り。

・CVE-2022-1116

Linux Kernel の io_uring に整数オーバーフローまたはラップアラウンドの脆弱性があり、ローカルの攻撃者にメモリ破壊を引き起こし、root 権限を昇格させることが可能です。この問題は、以下の項目に影響します。Linux Kernel の 5.4.189 以前のバージョン、および 5.4.24 以降のバージョン。

 

CNA:  Google Inc.　Base Score:  7.8 HIGH　

Vector:  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 

リンク先にパッチがある。

 

◆microsoft -- windows-print_spooler_elevation_privilege_vulnerability

・CVE-2022-30138

Windows Print Spooler の特権昇格の脆弱性。この CVE ID は CVE-2022-29104, CVE-2022-29132 と異なり、一意です。

 

CNA:  Microsoft Corporation　Base Score:  7.8 HIGH

Vector:  CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 

◆mitsubishi_electric -- melsec_iq-f　全２件

・CVE-2022-25161

不適切な入力検証の脆弱性により、遠隔の無認証の攻撃者が特別に細工したパケットを送信することで、製品のプログラム実行や通信に DoS 状態を引き起こす可能性があります。復旧には、製品のシステムリセットが必要です。

対象製品は、以下の通り。

• 三菱電機 MELSEC iQ-F シリーズ FX5U-xMy/z(x=32,64,80, y=T,R, z=ES,DS,ESS,DSS) 1.270 よりも前のバージョン、
• 三菱電機 MELSEC iQ-F シリーズ FX5UC-xMy/z(x=32,64,96, y=T,R, z=D,DSS) 1.270 より前のバージョン、
• 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MT/DS-TS 1.270より前のバージョン、
• 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MT/DSS-TS 1.270より前のバージョン、
• 三菱電機 MELSEC iQ-Fシリーズ FX5UC-32MR/DS-TS 1.270以前のバージョン、および
• 三菱電機 MELSEC iQ-F シリーズ FX5UJ-xMy/z (x=24,40,60, y=T,R, z=ES,ESS) 1.030 より前のバージョン。

 

・CVE-2022-25162

不適切な入力検証不備の脆弱性により、特別に細工したパケットの送信により、遠隔地の未認証攻撃者が製品の通信に一時的に DoS 状態を起こす可能性があります。

対象製品は以下の通り。

• 三菱電機 MELSEC iQ-F シリーズ FX5U-xMy/z(x=32,64,80, y=T,R, z=ES,DS,ESS,DSS) 1.270 よりも前のバージョン、
• 三菱電機 MELSEC iQ-F シリーズ FX5UC-xMy/z(x=32,64,96, y=T,R, z=D,DSS) 1.270 より前のバージョン、
• 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MT/DS-TS 1.270より前のバージョン、
• 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MT/DSS-TS 1.270より前のバージョン、
• 三菱電機 MELSEC iQ-F シリーズ FX5UC-32MR/DS-TS 1.270以前のバージョン、および
• 三菱電機 MELSEC iQ-F シリーズ FX5UJ-xMy/z (x=24,40,60, y=T,R, z=ES,ESS) 1.030 より前のバージョン。

 

NIST: NVD　Base Score:  N/A　NVD score not yet provided.

 

・三菱電機マイクロシーケンサMELSEC-Fシリーズは

基本性能の向上,駆動機器との連携, プログラミング環境の改善をコンセプトに、 MELSEC iQ-Fシリーズとして新たに生まれ変わりました。（ベンダーサイトより）

  

出典

Bulletin (SB22-143)
Vulnerability Summary for the Week of May 16, 2022 (release date: May 24)