帰ってきた「しっぽのさきっちょ」

しっぽのさきっちょ: 2017-03-25 付 (2017-04-05 更新)

「隠すことによるセキュリティ」が何をもたらすか

no extension

例の Vault 7 絡みの話。

Cisco は相変わらず「遅い」なぁ。 まぁほかのネットワーク機器を販売している企業も似たり寄ったりなのだが。

それはともかく,今回の Cisco 製品の脆弱性は telnet 絡みのもののようだ。

CMPとは、クラスターを構成する別の機器に、TELNETを使ってメッセージやコマンドを送信するためのプロトコル。今回見つかったCMPの脆弱性を突くと、攻撃者はアクセス権限のないシスコ製品にTELNETで接続できる。その結果、その製品を乗っ取ったり、製品上でウイルスを実行したりすることが可能になる。
via CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性

言うまでもないが,もはや telnet は使ってはいけない。 可能な限り無効にするべき。

パッチ提供前の対策として同社が挙げているのが、IOS/IOS XEでTELNETを無効にすること。これにより、脆弱性がある機器でも攻撃されることを防げる。TELNETの代わりには、SSHを利用するよう推奨している。また、TELNETを無効にできない環境では、アクセス制御で対応するよう呼びかけている。
via CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性

その上で ssh を使えばいいのだが ssh でもパスワード認証は比較的破られやすいことが分かっているので必ず公開鍵暗号を使った認証を使うこと。 ついでに ssh の version 1 は使わないこと。

Vault 7 では脆弱性情報について PoC (Proof of Concept) や exploit code などの詳細情報がなく解析に時間がかかっているようだ1

ところが今回のケースでは、CIAから流出したとする機密文書Vault 7から脆弱性の存在が判明した。このためシスコは、詳細な情報やエクスプロイトを入手していない可能性がある。
実際、シスコの公式ブログには、「(今回の脆弱性に関連する)ツールやマルウエアは公表されていないので、シスコが取れるアクションは限られている。より多くの情報を入手するまでは、脆弱性ハンドリングの観点でシスコができることはほとんどない」としている。
via CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性

追記(2017-04-04)

この記事によるとちょっと状況が異なるようである。

それに対して今回のYear Zeroが公開したのは、CIAが利用しているサイバー兵器そのものの情報だ。「CIAはこんなツールを使っていますよ」ではなく、CIAの利用しているゼロデイ、マルウェア、エクスプロイトなどの現物の情報である。WikiLeaksは、「このスマートフォンの脆弱性を利用してインストールできるマルウェア」や、「あの暗号化通信のアプリケーションを迂回できるツール」をソースコードごと入手しており、閲覧しても問題のない形で(=他者から悪用されない形で)それらの情報を公開している。
via 暴露されたCIAの諜報能力「Vault 7」の衝撃度(前編)

つまり WikiLeaks 側は脆弱性情報に対して exploit code 等の詳細情報を持っていることになる。 であれば,後述のように,ベンダ企業にはその詳細情報が渡っている筈である(多分)。

WikiLeaks 側は製品のベンダ企業に対して脆弱性の一般公開まで90日間の猶予を設けているらしい(予告なしに公開はしないということ)。

WikiLeaks included a document in the email, requesting the companies to sign off on a series of conditions before being able to receive the actual technical details to deploy patches, according to sources. It's unclear what the conditions are, but a source mentioned a 90-day disclosure deadline, which would compel companies to commit to issuing a patch within three months.
via WikiLeaks Won’t Tell Tech Companies How to Patch CIA Zero-Days Until Its Demands Are Met

90日の猶予期間というのは Google の Project Zero などでもやっているので特に無理筋な設定ではないと思うが Cisco みたいな企業だと厳しいかもしれない。 一方で Android や iOS などでは発覚した脆弱性の殆んどは修正済みだったらしい。 そういった脆弱性情報の解析・対処の能力の違いはありそうである。

この問題の根源は CIA などの諜報機関が脆弱性情報を「悪用」するために秘匿していたことである。 よく「隠すことによるセキュリティはダメ」と言われるが,目的はどうあれ脆弱性情報を秘匿することがどういう結果をもたらすか身に染みたのではないだろうか。

Honestly, at this point the CIA should do the right thing and disclose all the vulnerabilities to the companies. They're burned as CIA attack tools. I have every confidence that Russia, China, and several other countries can hack WikiLeaks and get their hands on a copy. By now, their primary value is for defense. The CIA should bypass WikiLeaks and get the vulnerabilities fixed as soon as possible.
via WikiLeaks Not Disclosing CIA-Hoarded Vulnerabilities to Companies

ブックマーク


  1. Vault 7 のリーク元がロシアということもあって情報自体の信憑性を確認する必要もある。 [return]