概要
Talos は、TALOS-2017-0274/CVE-2017-2784 ARM MbedTLS のコード実行の脆弱性を公開しています。この脆弱性は、特に MbedTLS が x509 証明書をどのように処理するかに関連しています。MbedTLS は、特に組み込みデバイス向けの SSL/TLS 実装であり、以前は PolarSSL と呼ばれていました。
この脆弱性は、楕円曲線暗号キーに対応するコードに含まれています。攻撃者は、証明書に一連のチェックを実行する巧妙に細工された x509 証明書をターゲットに提供することで、この脆弱性をトリガーできます。これらのチェックを実行中、アプリケーションは公開キーを正しく解析することに失敗します。結果として、スタック ポインタの移動が無効になります。この脆弱性には関連する緩和要因があります。それは、この脆弱性がトリガーされる直前に、指しているメモリ スペースがゼロになることです。ただし、MbedTLS は、最新の不正利用緩和策が装備されていない可能性のある組み込みプラットフォーム用に設計されているため、特定の状況ではコードの実行が可能な場合があります。脆弱性の詳細については、シスコのアドバイザリ
を参照してください。
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール:41364
本稿は 2017年4月19日に Talos Group
Authors