ISC DHCPコンポーネントのバッファ・オーバーフローの影響を受けているFireware 10.2.x 2009年7月22日
ISC DHCPコンポーネントのバッファ・オーバーフローの影響を受けているFireware 10.2.x
危険度:中
2009年7月22日
【概要】
対象:
ISCのDHCPを使用している製品
Fireware 10.2..10やそれ以前のバージョンを搭載しているFirebox CoreとPeak アプライアンスにも影響あり
攻撃方法:
ローカル・ネットワークに悪質なDHCP サーバを設置する
影響:
最悪の場合はルート特権を備えた攻撃者がユーザのシステムでコードを実行
対策:
ISC DHCPバージョン4.1.0p1/4.0.1p1/ 3.1.2p1などにアップグレードするか、ベンダーが提供している解決方法を取り入れること(下記詳細を参照)
【詳細】
ネットワークデバイスが自動的にIP アドレスを指定したり、受信したりすることを可能にするダイナミック・ホスト・コンフィギュレーション・プロトコルを実行するオープンソース・パッケージのISC DHCPには、DHCP サーバー(dhcpd)とDHCP クライアント(dhclient) というソフトウェアがある。
CERTが公開している最近のVulnerability Noteによると、ISC DHCPいづれかのコンポーネントはスタック・バッファ・オーバーフローの脆弱性の影響を受けており、それはかなり深刻であるという。具体的に言うと、dhclient (DHCP サーバからDHCP アドレスを取得する役割を担うコンポーネント)が、DHCP サーバから戻されたサブネットマスクの長さを正確にチェックせず、攻撃者はその欠陥を利用して脆弱なコンピュータのメモリの一部を上書きすることでき、そのデバイスでコードを実行できるようになるという。dhclient はルートとして実行されるため、攻撃者は欠陥を悪用してユーザの脆弱なデバイスを完全に操作できるようになる。
但し、脆弱性を悪用するにあたり攻撃者はまず悪質なDHCP サーバをユーザのローカル・ネットワークに設置しなければならない上、その悪性のサーバがユーザの正当なサーバよりも素早くDHCP リクエストに応答できるようにしなければならない。こうした理由から、少なくともプライベートの内部ネットワークにおいては脆弱性のリスクはそれほど高いものではないが、一般のワイヤレスネットワークにおいては非常に深刻な問題である。パブリック・ワイヤレスネットワークは誰でも使用できるため、攻撃者はそうした環境下で悪質なDHCP サーバを簡単に取り入れることができる。
ISC DHCPは人気のあるオープンソース・パッケージであるため、この欠陥は我々が使用している様々なデバイスや製品に影響を与えることができる。
いくつか考えられる状況は次の通り。
【対策】
バージョンにかかわらず、 ISC DHCPを使用している場合はできる限り早急に4.1.0p1/ 4.0.1p1/3.1.2p1のいづれかにアップグレードすることを勧める。 ISC DHCPバージョン2.0と3.0は生産終了となっているので、旧バージョンを使用している場合は最近のバージョンにアップグレードすることが必要となる。
また、Linuxディストリビューションやネットワーク・アプライアンスの中には、脆弱なISC DHCPコンポーネントを使用している場合も多々ある。CERTのVulnerability Noteにある "Systems Affected"(影響を受けているシステム)を参照し、脆弱な製品を使用しているかそしてパッチが用意されているかなどについて確認すること。また、影響を受けているベンダーに直接問い合わせるという方法もある。CERTのリストに見られるベンダーの多くはまだテストされていないため、今後数週間はVulnerability Noteを定期的にチェックする必要があるだろう。
WatchGuard Fireboxユーザ:
WatchGuard のFirebox製品シリーズの中には、脆弱なdhclient コンポーネントを使用するものもある。詳細については次の【Q&A】を参照。
【Q&A】
ウォッチガード製品で影響を受けているものはありますか?
あります。10.2.xを使用しているFirebox X CoreとPeakがこの脆弱性の影響を受けていますが、10.2.xを使用しているFirebox X Edgeへの影響はありません。近くリリース予定のFireware XTM リリースもこの欠陥に対して脆弱ではありません。
この脆弱性の詳細は?
この問題はDHCPが指定したIPアドレスを取得するコンポーネントであるdhclientのスタック・バッファ・オーバーフローの脆弱性に関与しています。概して、攻撃者が悪質なDHCPサーバをユーザのローカルネットワークに設置した場合、攻撃者は脆弱なdhclient コンポーネントを利用しネットワークのあらゆるデバイスを完全に操作、つまりルート権限を獲得することができるようになります。
この脆弱性は深刻ですか?
ユーザの環境や影響を受けている製品、デバイスなどによってこの欠陥の重大性は異なります。例えば、パブリック・ワイヤレスネットワークを使うLinux システムにとって、この脆弱性は深刻なリスクを掲げています。それというのは、オープン・ワイヤレスネットワークに悪質なDHCPサーバを設置することは誰でもできる他、Linux ディストリビューションの多くはdhclientを使うため、パブリック・ワイヤレスネットワークに接続しているLinuxシステムは、この脆弱性に簡単にハイジャックされてしまう可能性があるからです。
けれども、内部のプライベートネットワークにおいては、このリスクの危険性は大幅に低くなります。その場合、攻撃者はまず悪質なDHCPサーバでローカル・ネットワークに侵入しなければならないのですが、「防衛力がしっかりしているネットワークのクライアントには大したリスクはない」とISCは述べています。
次の3つの理由からFirebox CoreやPeak への大きなリスクは、まずないだろうと我々は見ています。
この脆弱性に対応するパッチは用意されていますか?
現時点でこの欠陥に対処できるパッチはありませんが、Fireware 10.2.11 のフィックスのスケジュールは組んであるので9月にはリリース予定です。Fireware XTM は、この欠陥に対して脆弱ではありません。Fireware XTMはFireware 10.2.11の前にリリースする予定です。この欠陥を懸念するのであれば、Fireware XTMがリリースされ次第、インストールすることをおすすめします。
回避策はありますか?
はい。Firebox Core やPeak を静的外部IPアドレスで設定し、攻撃者がこの欠陥を悪用できないようすることができます。静的IPアドレスをFireboxの外部インターフェイスに指定することができる場合は、その方法を取ることをすすめます。我々の経験から言えば、CoreやPeakの管理者は静的アドレスを外部インターフェイスに指定しているのが大方です(Edgeの管理者はどちらかといえば外部でDHCPを使う傾向がありますが、Edgeはこの欠陥において脆弱ではありません)。
この脆弱性はどのようにして発見されたのですか?
Mandriva Linux エンジニアリング・チームがこの脆弱性をISCに報告、ISCがCERTに連絡しました。CERTはこの脆弱性の公開をコーディネートし、ウォッチガードのようなベンダーにこの欠陥について報告しました。
この脆弱性が一般で悪用されている兆しはありますか?
いいえ。現時点では、この脆弱性が一般で悪用されている兆候はありません。
詳細について知りたい場合の連絡先は?
この問題に関する詳細情報やウォッチガード製品へのセキュリティ懸念などに関しては、下記にお問合せください:
コーリー・ナクライナー
シニア・ネットワークセキュリティ・ストラテジスト
ウォッチガード・テクノロジーズ
http://www.watchguard.com
corey.nachreiner@watchguard.com
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:中
2009年7月22日
【概要】
対象:
ISCのDHCPを使用している製品
Fireware 10.2..10やそれ以前のバージョンを搭載しているFirebox CoreとPeak アプライアンスにも影響あり
攻撃方法:
ローカル・ネットワークに悪質なDHCP サーバを設置する
影響:
最悪の場合はルート特権を備えた攻撃者がユーザのシステムでコードを実行
対策:
ISC DHCPバージョン4.1.0p1/4.0.1p1/ 3.1.2p1などにアップグレードするか、ベンダーが提供している解決方法を取り入れること(下記詳細を参照)
【詳細】
ネットワークデバイスが自動的にIP アドレスを指定したり、受信したりすることを可能にするダイナミック・ホスト・コンフィギュレーション・プロトコルを実行するオープンソース・パッケージのISC DHCPには、DHCP サーバー(dhcpd)とDHCP クライアント(dhclient) というソフトウェアがある。
CERTが公開している最近のVulnerability Noteによると、ISC DHCPいづれかのコンポーネントはスタック・バッファ・オーバーフローの脆弱性の影響を受けており、それはかなり深刻であるという。具体的に言うと、dhclient (DHCP サーバからDHCP アドレスを取得する役割を担うコンポーネント)が、DHCP サーバから戻されたサブネットマスクの長さを正確にチェックせず、攻撃者はその欠陥を利用して脆弱なコンピュータのメモリの一部を上書きすることでき、そのデバイスでコードを実行できるようになるという。dhclient はルートとして実行されるため、攻撃者は欠陥を悪用してユーザの脆弱なデバイスを完全に操作できるようになる。
但し、脆弱性を悪用するにあたり攻撃者はまず悪質なDHCP サーバをユーザのローカル・ネットワークに設置しなければならない上、その悪性のサーバがユーザの正当なサーバよりも素早くDHCP リクエストに応答できるようにしなければならない。こうした理由から、少なくともプライベートの内部ネットワークにおいては脆弱性のリスクはそれほど高いものではないが、一般のワイヤレスネットワークにおいては非常に深刻な問題である。パブリック・ワイヤレスネットワークは誰でも使用できるため、攻撃者はそうした環境下で悪質なDHCP サーバを簡単に取り入れることができる。
ISC DHCPは人気のあるオープンソース・パッケージであるため、この欠陥は我々が使用している様々なデバイスや製品に影響を与えることができる。
いくつか考えられる状況は次の通り。
- Linux
ディストリビューション
多くのLinux ディストリビューションにはISC DHCPが搭載されており、DHCP アドレスを取得するにはdhclient が使われている。ネットワークでLinuxコンピュータを使用している場合は、使用しているLinuxベンダーに問い合わせdhclientを使用しているか、パッチを用意しているかなどについて確認すること。
- ネットワーク・アプライアンス
Linuxカーネルを使用しているネットワーク・アプライアンスは多々あるが、ISC DHCPのようなオープンソース・パッケージも使用することで一般的なネットワーク・サービスを提供するものもある。そうしたネットワーク・アプライアンスは、この欠陥において脆弱である可能性がある。CERTのVulnerability Note にある"Systems Affected" (影響を受けているシステム)の欄には、問題を受けている可能性があるベンダー・リストを掲載している。しかし残念ながら欠陥に関するステータスを提出しているベンダーはまだ少ない。使用しているネットワーク・アプライアンスが1つでもLinuxを使用しており、dhclientを使っている可能性がある場合は、ベンダーに問い合わせ確認することを勧める。CERTのVulnerability Note を定期的にチェックし、ステータスをアップデートしたベンダーをチェックする方法もある。
- ウォッチガードのFireboxアプライアンス
ウォッチガードのFirebox製品の中には脆弱なバージョンのdhclient を使い、外部インターフェイスでDHCP指定IPアドレスを取得するものもある。10.2.xを使用しているFirebox X CoreとPeakはこの脆弱性の影響を受けているが、10.2.xを使用しているFirebox X Edgeへの影響はない。9月中にリリース予定の10.2.x (10.2.11)には、この脆弱性に対応するパッチを入れる予定だ。Fireware XTM は、この欠陥に対して脆弱ではない。又、Fireware XTMはFireware 10.2.11の前にリリースする予定なので、この欠陥を懸念しているならばFireware XTMがリリースされ次第、インストールすることをすすめる。
この脆弱性の性質により、ウォッチガードのFireboxにおけるリスクは非常に軽減されている。Fireboxでは外部インターフェイスでDHCP指定IPアドレスを取得する場合に限りdhclient を使うようになっている。通常、ユーザは外部インターフェイスをISPのネットワークに繋げているが、その場合、攻撃者は悪質なDHCPサーバをユーザのISPのネットワークにインストールさせなければ脆弱性を利用することはできない。しかしそれはまずないだろう。「防衛力がしっかりしているネットワークのクライアントに対し、この攻撃は大したリスクではない」とISCは述べている。さらに、CoreやPeakを使用しているユーザでより大きなネットワークを保護している場合はDHCPアドレスではなく、静的IPアドレスを外部インターフェイスに指定する。このため、静的IPアドレスをCoreやPeakで使用している場合はこの脆弱性を利用されることはない。
【対策】
バージョンにかかわらず、 ISC DHCPを使用している場合はできる限り早急に4.1.0p1/ 4.0.1p1/3.1.2p1のいづれかにアップグレードすることを勧める。 ISC DHCPバージョン2.0と3.0は生産終了となっているので、旧バージョンを使用している場合は最近のバージョンにアップグレードすることが必要となる。
また、Linuxディストリビューションやネットワーク・アプライアンスの中には、脆弱なISC DHCPコンポーネントを使用している場合も多々ある。CERTのVulnerability Noteにある "Systems Affected"(影響を受けているシステム)を参照し、脆弱な製品を使用しているかそしてパッチが用意されているかなどについて確認すること。また、影響を受けているベンダーに直接問い合わせるという方法もある。CERTのリストに見られるベンダーの多くはまだテストされていないため、今後数週間はVulnerability Noteを定期的にチェックする必要があるだろう。
WatchGuard Fireboxユーザ:
WatchGuard のFirebox製品シリーズの中には、脆弱なdhclient コンポーネントを使用するものもある。詳細については次の【Q&A】を参照。
【Q&A】
ウォッチガード製品で影響を受けているものはありますか?
あります。10.2.xを使用しているFirebox X CoreとPeakがこの脆弱性の影響を受けていますが、10.2.xを使用しているFirebox X Edgeへの影響はありません。近くリリース予定のFireware XTM リリースもこの欠陥に対して脆弱ではありません。
この脆弱性の詳細は?
この問題はDHCPが指定したIPアドレスを取得するコンポーネントであるdhclientのスタック・バッファ・オーバーフローの脆弱性に関与しています。概して、攻撃者が悪質なDHCPサーバをユーザのローカルネットワークに設置した場合、攻撃者は脆弱なdhclient コンポーネントを利用しネットワークのあらゆるデバイスを完全に操作、つまりルート権限を獲得することができるようになります。
この脆弱性は深刻ですか?
ユーザの環境や影響を受けている製品、デバイスなどによってこの欠陥の重大性は異なります。例えば、パブリック・ワイヤレスネットワークを使うLinux システムにとって、この脆弱性は深刻なリスクを掲げています。それというのは、オープン・ワイヤレスネットワークに悪質なDHCPサーバを設置することは誰でもできる他、Linux ディストリビューションの多くはdhclientを使うため、パブリック・ワイヤレスネットワークに接続しているLinuxシステムは、この脆弱性に簡単にハイジャックされてしまう可能性があるからです。
けれども、内部のプライベートネットワークにおいては、このリスクの危険性は大幅に低くなります。その場合、攻撃者はまず悪質なDHCPサーバでローカル・ネットワークに侵入しなければならないのですが、「防衛力がしっかりしているネットワークのクライアントには大したリスクはない」とISCは述べています。
次の3つの理由からFirebox CoreやPeak への大きなリスクは、まずないだろうと我々は見ています。
- CoreやPeakの管理者は、静的IPアドレスをFireboxの外部インターフェイスに指定する傾向があり、攻撃者がこの欠陥を悪用することを阻止できます。
- 管理者が外部インターフェイスでDHCPを設定する場合、インターフェイスは管理者のISPネットワークに接続するのが一般的です。攻撃者が悪質なDHCPサーバをISPのローカル・ネットワークにインストールできるということはまずないでしょう。
- この脆弱性をFireboxで悪用することは、スタンダードのLinuxディストリビューションで悪用するよりも困難です。脆弱なバッファのサイズにもよりますが、この種の脆弱性でコードを実行するのは難しいものと見られます。通常、攻撃者はこうした種類の欠陥を利用してコマンドシェルのような、既に存在するコードを呼び出しますが、そのように呼び出しをかけるコマンドシェルはFireboxに搭載されていません。商標で守られたプラットフォームを使用しているため、攻撃者がFireboxでこの欠陥の悪用に成功することは難しいでしょう。
この脆弱性に対応するパッチは用意されていますか?
現時点でこの欠陥に対処できるパッチはありませんが、Fireware 10.2.11 のフィックスのスケジュールは組んであるので9月にはリリース予定です。Fireware XTM は、この欠陥に対して脆弱ではありません。Fireware XTMはFireware 10.2.11の前にリリースする予定です。この欠陥を懸念するのであれば、Fireware XTMがリリースされ次第、インストールすることをおすすめします。
回避策はありますか?
はい。Firebox Core やPeak を静的外部IPアドレスで設定し、攻撃者がこの欠陥を悪用できないようすることができます。静的IPアドレスをFireboxの外部インターフェイスに指定することができる場合は、その方法を取ることをすすめます。我々の経験から言えば、CoreやPeakの管理者は静的アドレスを外部インターフェイスに指定しているのが大方です(Edgeの管理者はどちらかといえば外部でDHCPを使う傾向がありますが、Edgeはこの欠陥において脆弱ではありません)。
この脆弱性はどのようにして発見されたのですか?
Mandriva Linux エンジニアリング・チームがこの脆弱性をISCに報告、ISCがCERTに連絡しました。CERTはこの脆弱性の公開をコーディネートし、ウォッチガードのようなベンダーにこの欠陥について報告しました。
この脆弱性が一般で悪用されている兆しはありますか?
いいえ。現時点では、この脆弱性が一般で悪用されている兆候はありません。
詳細について知りたい場合の連絡先は?
この問題に関する詳細情報やウォッチガード製品へのセキュリティ懸念などに関しては、下記にお問合せください:
コーリー・ナクライナー
シニア・ネットワークセキュリティ・ストラテジスト
ウォッチガード・テクノロジーズ
http://www.watchguard.com
corey.nachreiner@watchguard.com
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。