Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

注目の脆弱性:Moxa AWK-3131A の複数機能で確認された、ログイン ユーザ名パラメータに起因する OS コマンド インジェクションの脆弱性


2018年4月9日

脆弱性の発見者:Cisco Talos の Patrick DeSantis と Dave McDaniel

Talos は本日(4 月 3 日)、Moxa AWK-3131A 産業用ワイヤレス アクセス ポイントで確認された脆弱性 TALOS-2017-0507(CVE-2017-14459)を公開しました。

この製品は IEEE 802.11a/b/g/n ワイヤレス AP/ブリッジ/クライアントで、産業用途向けのワイヤレス ネットワーク機器です。製造者の MOXA 社によると、製品の主なターゲットは、自動化されたマテリアル ハンドリングや無人搬送車です。

ファームウェア バージョン 1.4 以降を使用する製品では、Telnet、SSH、およびローカル ログイン ポートの各機能に、エクスプロイト可能な OS コマンド インジェクション(command injection)の脆弱性が存在します。これは username パラメータを悪用された場合に起こるもので、エクスプロイトされると、認証されていないルート レベルの OS コマンドが遠隔で実行される危険性があります。

脆弱性の詳細

今回の脆弱性は、失敗した認証試行のログを作成するコードに起因すると考えられます。Busybox loginutils に依存するサービスのログインに失敗すると、次のようなコードが実行されます。

Versions 1.4 - 1.7
sprintf(buf, "/usr/sbin/iw_event_user %s %s %s", IW_LOG_AUTH_FAIL);
system(buf)

username フィールドからの入力は iw_event_user への引数として渡され、次に system() に渡されますが、その際にコマンド インジェクションの脆弱性が発現します。

脆弱性は、Telnet、SSH、およびローカル コンソール ポートを介してエクスプロイト可能なことが確認されています。他にも、製品の Web アプリケーションが loginutils に依存しており、iw_event_user バイナリを調査したところ、「WEB」、「TELNET」、「SSH」経由のログイン失敗メッセージが確認されました。このため同アプリケーションも脆弱性を抱えている可能性があります。

デフォルトでは、デバイスで認証を行わなくても stderr の出力がコンソールに表示されます。攻撃者は、stdout を stderr にリダイレクト(`1>&2` を使用)することで、OS コマンド インジェクションの実行時にコンソール出力を受け取ることができます。

旧バージョンのファームウェア(1.3 以前)も同じ脆弱性を抱えていると考えられますが、エクスプロイトはバージョン 1.4 ほど容易ではありません。たとえば バージョン 1.0 では、コンソール ポート経由で「sh」または「reboot」と入力するとコンソールがハング/フリーズし、回復には再起動が必要になります。バージョン間でエクスプロイトの容易さが異なるのは、ログイベントを生成する方法がバージョン 1.4 から若干変更されていることに起因すると考えられます。

脆弱性に関する詳細は脆弱性レポートpopup_iconをご覧ください。

また、Moxa 社からは修正済みファームウェアpopup_iconがリリースされています。脆弱性を解決するため、修正済みファームウェアをできるだけ早くダウンロードしてインストールすることをお勧めします。

詳細

遠隔監視制御・情報取得(SCADA)システムなどの産業制御システム(ICS)は、多様な産業プロセスの各側面を制御・監視する用途で、エネルギー産業や製造業、ライフラインなどの分野で活用されています。従来の IT システムやネットワークで使用されているメカニズムやプロトコルは、ICS システムでも多くが使用されており、

従来の IT システムと ICS の間には一部で類似点もあります。ただし ICS では高いサービス レベルとパフォーマンスが求められます。その理由は、ICS が実社会に、つまり人々の健康や安全、そして環境に直接的な影響を及ぼす可能性があるためです。そのため ICS には独自の信頼性要件があり、一般的な IT 環境では使用されないリアルタイムの OS とアプリケーションが使用されるケースもあります。

無線 AP を含めた ICS デバイスではソフトウェアが実行されますが、ソフトウェアには脆弱性が含まれ、ICS ネットワーク環境への侵入経路となる可能性があります。

こうしたリスクを最小限に抑えるには、アクセス ポイントにソフトウェア アップデートを定期的に適用する必要があります

カバレッジ

次の Snort ルールは、今回発見された脆弱性に対するエクスプロイトを検出します。脆弱性に関する新たな情報が発見された場合は、ルールが追加・変更される可能性もあります。最新情報にご注意ください。ルールに関する最新情報は、Firepower Management Center または Snort.org を参照してください。

Snort ルール:

  • 45220

 

本稿は 2018年4月3日に Talos Grouppopup_icon のブログに投稿された「Vulnerability Spotlight: Moxa AWK-3131A Multiple Features Login Username Parameter OS Command Injection Vulnerabilitypopup_icon」の抄訳です。

 

Tags:
コメントを書く