セキュリティ
2023年2月 セキュリティ情報(FortiWeb 脆弱性[CVE-2021-42756]など)
目次
はじめに(ご挨拶)
今後、セキュリティに関する記事の投稿を担当することになりました三浦です。「セキュリティの町医者」を目指しているセキュリティエンジニアです。今後ともどうぞ宜しくお願いいたします。
早速ですが、2023年2月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(FortiWeb - Stack-based buffer overflows in Proxyd[CVE-2021-42756])
| 一次情報元(引用元) | https://www.fortiguard.com/psirt/FG-IR-21-186 |
| その他、情報ソース | https://www.helpnetsecurity.com/2023/02/20/cve-2022-39952/ https://cert.be/en/warning-fortinet-patches-two-critical-severity-vulnerabilities-its-products |
情報公開日 | 2023/2/16(現地時間) |
| CVE番号及び深刻度 | CVE番号:CVE-2021-42756 深刻度:Critical (CVSSv3スコア 9.3) |
| 脆弱性内容 | FortiWeb のプロキシ デーモンの複数のスタックベースのバッファ オーバーフローの脆弱性 [CWE-121] により、認証されていないリモートの攻撃者が、特別に細工された HTTP リクエストを介して任意のコードを実行できる可能性があります。 (Multiple stack-based buffer overflow vulnerabilities [CWE-121] in FortiWeb's proxy daemon may allow an unauthenticated remote attacker to achieve arbitrary code execution via specifically crafted HTTP requests.) |
| 想定される影響 | 当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。 |
| 影響を受ける製品 | FortiWeb versions 5.x all versions, FortiWeb versions 6.0.7 and below, FortiWeb versions 6.1.2 and below, FortiWeb versions 6.2.6 and below, FortiWeb versions 6.3.16 and below, FortiWeb versions 6.4 all versions. |
| 解決策 | 当該脆弱性に対応したバージョンへのUpdate 詳細については「一次情報元(引用元)」でご確認ください。 なお、緩和策については公開されておりません。 |
| コメント | 注目した理由はFortiWeb(Webサイトを保護するWAF製品)に対し、細工したHTTPリクエストで任意コード実行が行える点です。 緩和策なども無く、悪用される恐れが高いため、優先度を上げてFortiWebのUpdateを行うことを強くお勧めいたします。 なお、記事作成時点において当該脆弱性が悪用されたという情報は見つかっておりません。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2023/2/7 | OpenSSL | OpenSSL開発チームは、深刻度/重大度が「高」の脆弱性(CVE-2023-0286)が1件含む複数の脆弱性に対するセキュリティアップデートを公開した。 "OpenSSL Security Advisory [7th February 2023]" https://www.openssl.org/news/secadv/20230207.txt |
| 2023/2/13 | Apple 社複数製品 | Apple 社は複数製品に存在する脆弱性に対するセキュリティアップデートを公開。なお、macOS Ventura /iOS /iPadOS /Safari では、悪用が確認されているWebkit(HTMLレンダリングエンジン)にRCE(リモートコード実行)脆弱性[CVE-2023-23529]も対応している。 "About the security content of watchOS 9.3.1" https://support.apple.com/en-us/HT213634 "About the security content of tvOS 16.3.2" https://support.apple.com/en-us/HT213632 "About the security content of macOS Ventura 13.2.1" https://support.apple.com/en-us/HT213633 "About the security content of iOS 16.3.1 and iPadOS 16.3.1" https://support.apple.com/en-us/HT213635 "About the security content of Safari 16.3" https://support.apple.com/en-us/HT213638 |
| 2023/2/14 | Microsoft 社複数製品 |
Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。なお、悪用が確認された脆弱性3件についても対応されている。 "2023 年 2 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2023-Feb "2023 年 2 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2023/02/202302-security-update/ 悪用が確認されている脆弱性 "Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性" https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2023-21823 "Windows グラフィックス コンポーネントのリモートでコードが実行される脆弱性" https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2023-21715 "Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性" https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2023-23376 |
| 2023/2/14 | PHPの複数バージョン |
PHPの複数バージョン「8.2.3」「8.1.16」「8.0.28」をリリース。CVE番号が付与された複数の脆弱性も対応されている。 "PHP 8.2.3 Released!" https://www.php.net/archive/2023.php#2023-02-14-2 "PHP 8.1.16 Released!" https://www.php.net/archive/2023.php#2023-02-14-3 "PHP 8.0.28 Released!" https://www.php.net/archive/2023.php#2023-02-14-1 |
注目したインシデント
| 日付 | 情報/コメント |
| 2023/2/2 | 東北の大学附属病院が患者約1,900人の個人情報を記録したUSBメモリを紛失したことを明らかにした。紛失現場は同院薬剤部であったのだが、IDカード認証による入室管理が徹底されており、関係者以外の持ち出しの可能性は極めて低いとのこと。 また、所在不明のUSBメモリは同院規則により暗号化機能及びセキュリティ機能を備えているとのこと。但し、紛失による情報流出を完全に否定できないため謝罪している。 |
| 2023/2/3 | 研究機関が所有するサイトが2023/1/10から問題が発生。調査した結果、不正アクセスを受け、サイトデータが不正ファイルに改ざんされ、それによりサイトが不具合が発生したことが判明した。なお、情報公開日である2023/2/3時点では問題は解消されているとのこと。 |
| 2023/2/4 | 地方自治体からトラベル地域応援業務を委託した事業者の従業員が、BCCで送信するところを誤って宛先にメールアドレスを入れて送信。メールアドレス498件が流出。なお、メール送信作業時のダブルチェックは未実施であったとコメントしている。 |
| 2023/2/7 | 医療用製品メーカーの従業員が宅配業者を装ったフィッシング被害に遭い、業務用スマートフォンに不正アクセスを受け、スマートフォンに保存されていた取引先の氏名電話番号350件、自社従業員の氏名と電話番号300件の個人情報が漏えいした可能性があることが判明。情報公開時点において二次被害の報告は確認されていないとのこと。 |
| 2023/2/8 | 電力会社の社員ら複数名が子会社と契約する新電力顧客情報を不正に閲覧。9カ月間で約4万件以上を閲覧していたとのこと。なお、同社は「原因究明と再発防止に努めたい」とコメントしたが、具体的な内容は本記事投稿時点では見つかっていない。 |
| 2023/2/9 | 関東にある大学が、2022/6/7に同大学のNAS(ネットワークストレージ)が不正アクセスを受けランサムウェア被害に遭ったことを公表した。原因はネットワークアクセス制限の設定不備及びログオン試行により、NASのパスワードが破られたとコメントしている。 なお、ニュースではランサムウェアは「Phobos」で設定ミスから数時間で6台のNASが次々と侵害されたと報道されている。 |
| 2023/2/9 | 九州地方の大学でメールアドレスのドメインを「@gmail.com」にすべきところ、「@gmai.com」としてアカウント登録したメーリングリストが複数見つかったことを公表。なお、「@gmai.com」はドッペルゲンガー・ドメインと呼ばれるもので、正規ドメイン(この場合は「@gmail.com」)に酷似した形のドメインを取得し、タイプミスや誤認識によりメールを誤送信させ情報を窃取したり、フィッシング等で使われたりするものである。 |
| 2023/2/14 | PCやスマートフォンのソフトウェア/ハードウェアを取り扱う企業のECサイトが不正アクセスを受け、クレジットカード情報11万件以上、個人情報は12万件以上が漏えいした可能性があることを公表。原因はシステムの脆弱性を利用した不正アクセスでペイメントアプリケーションの改ざんが行われたためと同社はコメントしている。 |
| 2023/2/15 | 食品製造業の企業は、2023/2/10に社内サーバが不正アクセスを受け、当該サーバ内にあるファイルが暗号化されたことを公表。サーバには通信販売やキャンペーン利用者の顧客情報を管理していたとのこと。 なお、原因や侵入経路については本記事作成時点において調査中で公表されていない。 |
| 2023/2/16 | 某ケーブルテレビ局にある機器制御用のサーバが不正アクセスをうけたことを公表。原因は機器更改時における新サーバのセキュリティ設定不備。また、不正アクセスの詳細を調査したところ、XorDDoSと呼ばれるマルウェアによる自動化されたDDoS攻撃であったことが判明。 なお、サービスは現在、旧サーバに切り替えており、不正アクセスも終息しているとのこと。 |
| 2023/2/20 | 革小物や毛皮を取り扱う企業のECサイトが不正アクセスを受け、クレジットカード情報約9,000件、個人情報約47,000件が漏えいした可能性があることを公表。原因はシステムの脆弱性を利用した不正アクセスでペイメントアプリケーションの改ざんとのこと。 なお、漏えいの懸念は2022/8/26にあったが、不確定な情報公開は混乱を招くため、対応準備を整えてからの告知が不可欠と判断し、公表が遅れたとコメントしている。 |