概要
Talos は、Ocularis レコーダーにおけるサービス妨害(DoS)の脆弱性を公開しました。Ocularis は、コンビニエンス ストアから市全体まで、あらゆる規模においてさまざまな設定で使用されている、ビデオ管理ソフトウェア(VM)プラットフォームです。攻撃者は、プロセスを終了する悪質なネットワーク パケットを作成し、この脆弱性を悪用してサービス妨害を引き起こす恐れがあります。
詳細
サービス妨害の脆弱性は、Ocularis 5.5.0.242. の Ocularis レコーダー機能に存在します。これは、巧妙に細工された TCP パケット によってプロセスが終了し、サービス妨害が発生する恐れがあるものです。
VMS_VA サーバ プロセスは 60801-65535 の範囲のポートで受信 TCP 接続をリッスンしており、クライアントが接続して予期しないデータを送信すると、バイナリは「Hello World!」と応答します。バイナリは受信データが「dispose」で始まるかどうかをチェックします。始まる場合は、サーバ プロセスは自身を破棄します。このコマンドは、認証を通す必要はありません。サーバ アプリケーションへのネットワーク アクセス権を持つ攻撃者は、これを悪用してサービス妨害攻撃を実行できます。
Ocularis は、バージョン 5.3、5.4、5.5 用の修正プログラムをリリースしました( https://onssi.com/software-downloads/ )
技術的な詳細については、Talos 脆弱性レポート をご覧ください。
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
Snort ルール:45829
本稿は 2018年6月5日に Talos Group のブログに投稿された「Vulnerability Spotlight: TALOS-2018-0535 – Ocularis Recorder VMS_VA Denial of Service Vulnerability」の抄訳です。