概要
Talos は、TALOS-2017-0293/CVE 2017-2800、WolfSSL のコード実行の脆弱性を公開しています。WolfSSL は、主にその小さな規模やパフォーマンスにより、特に組み込みおよび RTOS(Real-Time Operating System)環境を対象とした軽量の SSL/TLS ライブラリです。WolfSSL は、ICS や IoT デバイスなど、多様な製品で使用されます。
この特定の脆弱性は x.509 証明書の使用、および DER 証明書の文字列フィールドを扱うコードの使用に関連しています。具体的には、「commonName」、「countryName」、「localityName」、「stateName」、「orgName」、および「orgUnit」の分析を行うコードです。巧妙に細工された x.509 証明書により、単一のアウトオブバウンドの上書きが可能となり、結果として証明書の検証に関する問題、Denial of Service(DoS)、またはリモートでのコード実行が引き起こされます。この脆弱性をトリガーするために、攻撃者は該当のライブラリを使用するサーバまたはクライアント アプリケーションに悪意のある x.509 証明書を提供する必要があります。脆弱性全体に関する詳細はこちらをご覧ください。
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center、FireSIGHT Management Center、または Snort.org を参照してください。
Snort ルール:42000
本稿は 2017年5月8日に Talos Group のブログに投稿された「Vulnerability Spotlight: WolfSSL library X.509 Certificate Text Parsing Code Execution Vulnerability」の抄訳です。