2015年1月は、一見静かなようでいて、実は一部であまり穏やかでない情報漏えい疑惑発生や脆弱性発見がなされていました。今回は、組織内に設置されたデバイスからの情報漏えいが発生した「かもしれない」事案と、GHOST脆弱性について解説を行います。
組織内に設置されたデバイスからの情報漏えいしたかも事案とその対応~Anonymous FTP機能が有効になったNASにご注意を
これは、首都大学東京に設置されたNASデバイスからの情報漏えいが行われた「かもしれない」という事案です。本件は、実際に漏えいしたかしていないかにかかわらず、「漏えいしうる状態にあった」という指摘を受けて、当該デバイスに対する処置や窓口設置をはじめとする対応を取っています。
本件、以下の点で危険な状況であったと言えます。
- NASの設置が、外部から参照可能なところに行われた
- NASの初期設定についての確認を行っていなかった
また、デバイスそのものの設定をきちんとしていたとしても、デバイスと外部ネットワークの間に存在するネットワーク機器が安全な状態になっていなければ、危険性は残存します。この類のデバイスを配置する際には、昨今は組織に何らかの管理ルールなりが存在する、もしくはない場合は作成するのが基本です。自分のところが「ヤバいかも」と感じるようであれば、点検をお勧めします。
GHOST~gethostbyname in glibcの脆弱性
GHOSTは、CVE-2015-0235で識別される、glibcのgethostbyname()に存在する脆弱性の通称です。詳細は、発見者であるQualys,Inc.の記事に詳しいですが、GHOSTの正体はgethostbyname()の実装バグであり、発生する脆弱性はヒープオーバフローに分類されます。
gihyo.jpの吉田氏の記事および、2015年1月28日に公開されたトレンドマイクロのblogに詳しいです。
1月のトピックを紹介するという点ではちょっとだけ反則ですが、本脆弱性に関連して2月に公開された徳丸浩氏のblogでは、gethostbyname()を素直に呼び出すPHP処理系も影響を受けるということを紹介しています。
あと、GHOST脆弱性の危険度について、CVSSベースで見てみると、算出する機関/企業によって、判断がまちまちであることがわかります。NISTによるCVSS値(基本値)は10.0ですが、Red HatによるCVSS値(基本値)は6.8です。ただし、IPAによる試算は、本稿執筆時にはまだ行われていません。
ここまでの内容を総括すると、以下の2つが言えます。
- GHOST脆弱性を利用できるかどうかはアプリケーションに強く依存しており、これだけを使って安定した攻撃を行うことは難しい。また、安定して利用可能なExploit Codeは流通していない
- C等によるネイティブバイナリのみならず、gethostbyname()を直接呼び出すのに等しいAPIを持つ言語等は本脆弱性の影響を受ける
もちろん、脆弱性があるglibcをアップデートするのが一番とも言えますが、可及的速やかにと言うほど切羽詰まった様子はないです。今後安定して動作する攻撃方法が公開される可能性もゼロではないですが、当面は(安心とは言いませんが)様子見をするというのが正しいと言えます。