Firebox X Edgeの脆弱性:ユーザ認証のバイパス 2008年11月17日
Firebox X Edgeの脆弱性:
ユーザ認証のバイパス
危険度: 高
2008年11月17日
【概要】
対象:
Firebox X Edge 10.2.3とそれ以前のバージョン
攻撃方法:
攻撃者が特別に作成したユーザ名を認証ページに入力したり、特定のURLに手動でアクセスする
影響:
リモート攻撃者は有効なログイン・クレデンシャルなしにユーザのEdgeで認証を行うことができる。場合によっては、ユーザのネットワークへのVPNアクセス権も獲得することが可能
対策:
10.2.4を至急インストールすること
【詳細】
ユーザがその本人であることを偽造していないか確認する方法として、Firebox X Edgeは様々なタイプの認証をサポートしている。ユーザ認証を設定していると、ユーザが使用したIPアドレスではなく、その本人をもとにデータ・トラフィックを許可または拒否するためのURLフィルタリングやVPNポリシーを作成することができる。また、ネットワークへのモバイルVPNアクセスを設定する場合もユーザ認証を利用する。Edgeは安全なHTTPSウェブページを提供し、ユーザがEdgeに認証できるようにする。
しかし、Edgeで実行しているウェブベースの認証ページは様々な「認証バイパスの脆弱性」の影響を受けており、中にはウェブ・アプリケーションの入力検証の欠如に起因するものもある。特別に作成したユーザ名を認証ページに入力したり、手動で特定のURLへ行くなどして、匿名の攻撃者は有効なログイン・クレデンシャルを持たずに、ユーザのEdgeで認証を行うことができる。
攻撃者がこの認証バイパスの脆弱性を悪用した場合、攻撃者は実質的に存在しない「null」ユーザとして認証する。実際のユーザ・アカウントで作成したポリシーは、この「null」ユーザには適用されない。また、標準設定により「null」ユーザは被害者のEdgeやネットワークで追加特権を得ることはない。
ただ、Edgeは「デフォルト」というユーザ・グループを搭載している。工場出荷時の設定でデフォルト・ユーザ・グループは特権を持っていないが、デフォルト・ユーザ・グループに適用する設定はEdgeユーザ全員および存在しない「null」ユーザにも反映する。例えば、デフォルト・ユーザ・グループがモバイルSSL VPN経由でEdgeにアクセスできるように許可した場合、攻撃者に有効なログイン・クレデンシャルがない場合でも、攻撃者はこの脆弱性を悪用しネットワークへのSSL VPNアクセス権を獲得できる。デフォルト・ユーザ・グループに特権を与えた場合、この認証バイパスの脆弱性はネットワークに深刻なリスクを提示する。
【対策】
Firebox X Edge システム・ソフトウェア 10.2.4 はこの問題を修正している。新しいソフトウェアを至急ダウンロードし、インストールすることをすすめる(要ログイン)。
【Q&A】
この他のウォッチガード製品で影響を受けているものはありますか?
いいえ、ありません。我々の知る限りでは、この認証バイパスの脆弱性は他のウォッチガード製品に影響していません。Firebox X CoreやPeakはこれに似た認証プロセスを使用しますが、この脆弱性の影響は受けていません。
この脆弱性の詳細は?
これは認証バイパスの脆弱性です。リモート攻撃者がユーザのFirebox X Edge、ウェブベース認証ページにアクセスすることができると、攻撃者は有効なユーザ・クレデンシャルを持たずに、ユーザのEdgeで認証を行うことができます。Edgeのデフォルト・ユーザ・グループがSSL VPNアクセスを許可するように設定している場合、匿名の攻撃者は、この脆弱性を利用して被害者の内部ネットワークへの未認証アクセス権を獲得できる可能性があります。認証バイパスの脆弱性は、システム・ソフトウェア・バージョン10.2.3および、それ以前のバージョンを実行しているFirebox X Edgeに見られます。認証バイパスの欠陥によるFirebox X CoreやPeakシリーズ製品への影響はありません。
この脆弱性は深刻ですか?
非常に深刻です。ユーザの設定にもよりますが、攻撃者が脆弱性の悪用に成功すると、リモート攻撃者や匿名の攻撃者がVPNトンネルを介し、ユーザの保護されているネットワークに制限なしのアクセスを許可することが可能になります。この脆弱性を通じて攻撃者がFireboxのコントロール権を獲得することはできませんが、攻撃者はVPNアクセスを昇格させEdgeのファイアウォール・ポリシーから自由に動き、被害者の内部コンピュータを直接攻撃することができます。
Hotfixをインストールする他に回避策はありますか?
はい。Edgeのデフォルト・ユーザ・グループに特権を追加したり、デフォルト・ユーザ・グループを使ってポリシーを作成したことがある場合に限り、攻撃者はこの脆弱性を利用することができます。デフォルト・ユーザ・グループにVPNアクセスを許可していなければ、攻撃者がこの認証バイパスの脆弱性を悪用してもネットワークへのさらなるアクセス権を獲得することはできません。
デフォルト・ユーザ・グループに特権を追加しているかどうかを確認するには、Edgeの管理ページに行き、Firebox Usersをクリックしてください。次にLocal Group Accountsまでスクロールダウンし、デフォルト・グループ・アカウントを編集します。VPN設定のチェックボックスのチェックを全て外し、デフォルト・ユーザ・グループにEdgeの管理者アクセス権を与えていないことを確かめます。全ユーザにVPNアクセスを許可するにあたり、デフォルト・ユーザ・グループに依存したことがある場合は、個人ユーザから成る新しいグループを作成し、そのグループにVPNアクセス権を与えるか、手動で各ユーザ・アカウントにVPNアクセス権を追加します。
Hotfixはどこで入手することができますか?
Hotfixはウォッチガードのウェブサイトにあるsoftware download centerのEdge 10.2.4から入手することができます。
この脆弱性はどのようにして発見されたのですか?
この脆弱性はThomas Martinkewitz氏により発見され、ウォッチガードに報告がありました。この場をお借りして、ウォッチガード・ユーザの安全を維持するために協力して下さったMartinkewitz氏に御礼申し上げます。
この脆弱性が一般で悪用されている兆しはありますか?
いいえ。現時点では、この脆弱性が一般で悪用されている兆候はありません。
詳細について知りたい場合の連絡先は?
この問題に関する詳細情報やウォッチガード製品へのセキュリティ懸念などに関しては、下記にお問合せください:
Steve Fallin(スティーブ・ファリン)
Rapid Response Team(ラピッド・リスポンス・チーム)ディレクター
ウォッチガード・テクノロジーズ
http://www.watchguard.com
steve.fallin@watchguard.com
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。
ユーザ認証のバイパス
危険度: 高
2008年11月17日
【概要】
対象:
Firebox X Edge 10.2.3とそれ以前のバージョン
攻撃方法:
攻撃者が特別に作成したユーザ名を認証ページに入力したり、特定のURLに手動でアクセスする
影響:
リモート攻撃者は有効なログイン・クレデンシャルなしにユーザのEdgeで認証を行うことができる。場合によっては、ユーザのネットワークへのVPNアクセス権も獲得することが可能
対策:
10.2.4を至急インストールすること
【詳細】
ユーザがその本人であることを偽造していないか確認する方法として、Firebox X Edgeは様々なタイプの認証をサポートしている。ユーザ認証を設定していると、ユーザが使用したIPアドレスではなく、その本人をもとにデータ・トラフィックを許可または拒否するためのURLフィルタリングやVPNポリシーを作成することができる。また、ネットワークへのモバイルVPNアクセスを設定する場合もユーザ認証を利用する。Edgeは安全なHTTPSウェブページを提供し、ユーザがEdgeに認証できるようにする。
しかし、Edgeで実行しているウェブベースの認証ページは様々な「認証バイパスの脆弱性」の影響を受けており、中にはウェブ・アプリケーションの入力検証の欠如に起因するものもある。特別に作成したユーザ名を認証ページに入力したり、手動で特定のURLへ行くなどして、匿名の攻撃者は有効なログイン・クレデンシャルを持たずに、ユーザのEdgeで認証を行うことができる。
攻撃者がこの認証バイパスの脆弱性を悪用した場合、攻撃者は実質的に存在しない「null」ユーザとして認証する。実際のユーザ・アカウントで作成したポリシーは、この「null」ユーザには適用されない。また、標準設定により「null」ユーザは被害者のEdgeやネットワークで追加特権を得ることはない。
ただ、Edgeは「デフォルト」というユーザ・グループを搭載している。工場出荷時の設定でデフォルト・ユーザ・グループは特権を持っていないが、デフォルト・ユーザ・グループに適用する設定はEdgeユーザ全員および存在しない「null」ユーザにも反映する。例えば、デフォルト・ユーザ・グループがモバイルSSL VPN経由でEdgeにアクセスできるように許可した場合、攻撃者に有効なログイン・クレデンシャルがない場合でも、攻撃者はこの脆弱性を悪用しネットワークへのSSL VPNアクセス権を獲得できる。デフォルト・ユーザ・グループに特権を与えた場合、この認証バイパスの脆弱性はネットワークに深刻なリスクを提示する。
【対策】
Firebox X Edge システム・ソフトウェア 10.2.4 はこの問題を修正している。新しいソフトウェアを至急ダウンロードし、インストールすることをすすめる(要ログイン)。
【Q&A】
この他のウォッチガード製品で影響を受けているものはありますか?
いいえ、ありません。我々の知る限りでは、この認証バイパスの脆弱性は他のウォッチガード製品に影響していません。Firebox X CoreやPeakはこれに似た認証プロセスを使用しますが、この脆弱性の影響は受けていません。
この脆弱性の詳細は?
これは認証バイパスの脆弱性です。リモート攻撃者がユーザのFirebox X Edge、ウェブベース認証ページにアクセスすることができると、攻撃者は有効なユーザ・クレデンシャルを持たずに、ユーザのEdgeで認証を行うことができます。Edgeのデフォルト・ユーザ・グループがSSL VPNアクセスを許可するように設定している場合、匿名の攻撃者は、この脆弱性を利用して被害者の内部ネットワークへの未認証アクセス権を獲得できる可能性があります。認証バイパスの脆弱性は、システム・ソフトウェア・バージョン10.2.3および、それ以前のバージョンを実行しているFirebox X Edgeに見られます。認証バイパスの欠陥によるFirebox X CoreやPeakシリーズ製品への影響はありません。
この脆弱性は深刻ですか?
非常に深刻です。ユーザの設定にもよりますが、攻撃者が脆弱性の悪用に成功すると、リモート攻撃者や匿名の攻撃者がVPNトンネルを介し、ユーザの保護されているネットワークに制限なしのアクセスを許可することが可能になります。この脆弱性を通じて攻撃者がFireboxのコントロール権を獲得することはできませんが、攻撃者はVPNアクセスを昇格させEdgeのファイアウォール・ポリシーから自由に動き、被害者の内部コンピュータを直接攻撃することができます。
Hotfixをインストールする他に回避策はありますか?
はい。Edgeのデフォルト・ユーザ・グループに特権を追加したり、デフォルト・ユーザ・グループを使ってポリシーを作成したことがある場合に限り、攻撃者はこの脆弱性を利用することができます。デフォルト・ユーザ・グループにVPNアクセスを許可していなければ、攻撃者がこの認証バイパスの脆弱性を悪用してもネットワークへのさらなるアクセス権を獲得することはできません。
デフォルト・ユーザ・グループに特権を追加しているかどうかを確認するには、Edgeの管理ページに行き、Firebox Usersをクリックしてください。次にLocal Group Accountsまでスクロールダウンし、デフォルト・グループ・アカウントを編集します。VPN設定のチェックボックスのチェックを全て外し、デフォルト・ユーザ・グループにEdgeの管理者アクセス権を与えていないことを確かめます。全ユーザにVPNアクセスを許可するにあたり、デフォルト・ユーザ・グループに依存したことがある場合は、個人ユーザから成る新しいグループを作成し、そのグループにVPNアクセス権を与えるか、手動で各ユーザ・アカウントにVPNアクセス権を追加します。
Hotfixはどこで入手することができますか?
Hotfixはウォッチガードのウェブサイトにあるsoftware download centerのEdge 10.2.4から入手することができます。
この脆弱性はどのようにして発見されたのですか?
この脆弱性はThomas Martinkewitz氏により発見され、ウォッチガードに報告がありました。この場をお借りして、ウォッチガード・ユーザの安全を維持するために協力して下さったMartinkewitz氏に御礼申し上げます。
この脆弱性が一般で悪用されている兆しはありますか?
いいえ。現時点では、この脆弱性が一般で悪用されている兆候はありません。
詳細について知りたい場合の連絡先は?
この問題に関する詳細情報やウォッチガード製品へのセキュリティ懸念などに関しては、下記にお問合せください:
Steve Fallin(スティーブ・ファリン)
Rapid Response Team(ラピッド・リスポンス・チーム)ディレクター
ウォッチガード・テクノロジーズ
http://www.watchguard.com
steve.fallin@watchguard.com
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査されかかれた記事です。