注目の脆弱性:LabVIEW におけるコード実行の脆弱性
概要
「LabVIEW」は、米ナショナルインスツルメンツ社がリリースしたシステムの設計・開発プラットフォームです。このソフトウェアは、データ収集、計測器制御、産業オートメーション向けのアプリケーションを作成するために広く使用されています。Talos では、LabVIEW で使用される独自のファイル形式である VI ファイルに脆弱性が潜んでいることを公表しています。特殊な細工が行われた VI ファイルを開くと、コード実行の脆弱性が引き起こされる危険性があります。
TALOS-2017-0273 コード実行の脆弱性(CVE-2017-2779)
VI ファイル形式は、LabVIEW に実装されているさまざまなシステムを記述します。このファイル形式の仕様は公開されていませんが、ファイルを調査すると「RSRC」というセクションが含まれていることが分かります。おそらく、このセクションにはリソース情報が含まれているものと思われます。VI ファイルのこのセクション内の値を変更することで、制御されたループ状態が発生し、任意の null が書き込まれる可能性があります。攻撃者はこの脆弱性を利用して、特殊な細工を施した VI ファイルを作成することができます。このファイルを開くと、攻撃者によって提供されたコードが実行されます。
この脆弱性に関する詳細についてはこちら
をご覧ください。
National Instruments 社では、.exe に類似するファイル形式であれば、編集によって正当な内容を悪意ある内容に置き換えることはどの形式にでも可能であるとして、この問題を製品の脆弱性の原因とは考えておらず、パッチのリリースを拒否しています。Talos はこの姿勢には同意できません。この脆弱性と、.NET PE ローダーの脆弱性 CVE-2007-0041(MS07-040 で修正)には、共通点があります。加えて、VI ファイルは .exe ファイルに似ており、.exe ファイルと同様のセキュリティ要件に従う必要があるということを認識しているユーザは、多くありません。
既知の脆弱性バージョン:
LabVIEW 2016 バージョン 16.0
詳細
Talos では、以前にこのソフトウェアの脆弱性についての情報を開示しています。以前の情報開示では、仕様が公開されていない独自のファイル形式であっても検査して脆弱性を確認すべきと説明しました。データの取得やシステムの制御など、物理的な対象とのやり取りを行うシステムの侵害が成功してしまうと、安全が脅かされる可能性があります。このようなシステムを(たとえパイロット プロジェクトであっても)導入している組織は、このような脆弱性によってもたらされるリスクを認識して、システムを十分に保護する必要があります。
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center または Snort.org を参照してください。
Snort ルール:41368 ~ 41369
本稿は 2017年8月29日に Talos Group
Tags:
