Cisco Japan Blog

注目の脆弱性:Epee Levin パケットの逆シリアル化コード実行の脆弱性

1 min read



概要

Epee ライブラリpopup_iconは多数の暗号通貨で活用されており、攻撃に利用できるコード実行の脆弱性が Levin 逆シリアル化機能に含まれています。攻撃者は巧妙に細工したネットワーク パケットを送信してロジックに欠陥を引き起こすことで、リモートからのコード実行が可能になります。 

Cisco Talos は、自ら定めた協調的な開示方針に従って、Monero の「Lithium Luna」の開発者とともに問題の修正に取り組み、影響を受けたユーザに更新プログラムpopup_iconを提供できるようにしました。システムが脆弱性の影響を受けないよう、この更新プログラムをできるだけ早く適用することを推奨します。

脆弱性の詳細

Epee Levin パケットの逆シリアル化コード実行の脆弱性(TALOS-2018-0637/CVE-2018-3972)

Levin ネットワーク プロトコルは、多数の暗号通貨で採用されているピアツーピア(P2P)通信の実装であり、CryptoNote プロジェクトから分岐したすべての通貨でもこのプロトコルが使用されます。Levin には異なる種類の実装がいくつか存在しますが、この記事では、Epee ライブラリの実装に着目します。このライブラリは、多くの暗号通貨、特に Monero でよく使用されており、Levin プロトコルを逆シリアル化する機能を備えています。その機能に存在する脆弱性を悪用し、不正な種類の変換やキャストを引き起こすことで、リモートからコードを実行できるようになります。詳細については、こちらpopup_iconからアドバイザリを参照してください。

脆弱性のテストは、Monero の「Lithium Luna」(v0.12.2.0-master-ffab6700)で実施しました。

カバレッジ

この悪意ある試行は、以下の Snort IDpopup_icon により検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。

Snort ルール:47342popup_icon

本稿は 2018年9月25日に Talos Grouppopup_icon のブログに投稿された「Vulnerability Spotlight: Epee Levin Packet Deserialization Code Execution Vulnerability” target=”_blank”>popup_icon」の抄訳です。

コメントを書く