注目の脆弱性:Synology SRM(Synology Router Manager)に複数の脆弱性を発見
Cisco Talos は最近、Synology 社製ルータに電源を供給するソフトウェアでリモートコード実行の脆弱性を複数発見しました。これらの脆弱性は、Synology Router Manager(SRM)(Synology ルータ用の Linux ベース オペレーティング システム)と、QuickConnect(ユーザがルータにリモート接続できるようにする SRM 内の機能)に存在します。攻撃者はこれらの脆弱性を利用することで悪意のあるさまざまなアクションを実行できる可能性があります。たとえば、デバイス上でのリモートコードの実行、被害者のネットワークに関する機密情報の漏洩、同じネットワークに接続されている他のデバイスとの通信などです。
Cisco Talos は情報開示方針に従って Synology 社と協力し、今回の脆弱性が解決済みであり、影響を受けた利用者向けにアップデートが利用可能であることを確認しています。今回発見された脆弱性の 1 つは Qualcomm LBD サービスにも影響します。これを受けて、Qualcomm 社もアップデートをリリースしています。
今回の記事は Talos が調査を行った SRM に焦点を当てていますが、Synology 社からの情報によると、DSM も以下の影響を受けていました。
- TALOS-2020-1058 / CVE-2020-27648
- TALOS-2020-1059 / CVE-2020-27650
- TALOS-2020-1061 / CVE-2020-27652
- TALOS-2020-1071 / CVE-2020-27656
さまざまな経路で世界中からルート権限を取得
Talos は、Synology 社製ルータ上で無制限のルート権限を取得できる複数の脆弱性を発見しました。また、QuickConnect 機能を使用している任意のルータとリモートで通信し、権限をルートに昇格できる脆弱性も発見しました。
少々余談になりますが、以下で説明する脆弱性の相互関係を理解しやすくするために、ここで QuickConnect について簡単に説明しておきます。通常、ルータをリモート管理する場合は、WAN インターフェイスから Web GUI ポートにアクセスできるように設定します。また、(インターネット接続に動的 IP アドレスを使用している場合は)DDNS サービスを利用することにより、DDNS ホストを使用するだけでルータの Web GUI にリモートアクセスできるようにする場合もあります。QuickConnect を使用すれば、どちらの設定も不要になります。QuickConnect はルータを QuickConnect VPN 内に配置し、VPN トンネルを介して Web GUI を「http://quickconnect.to/quickconnectid」などの外部 URL に公開します。外部 URL に含まれる「quickconnectid」の部分は、QuickConnect の最初のセットアップ時に選択されます。
脆弱性の説明に戻りましょう。次の図は、攻撃者がルート権限を取得するためのさまざまな経路を示しています。
この図では、攻撃者が次の 3 つの場所から攻撃を開始できると仮定しています。
同じサブネット:攻撃者はルータによって管理されている LAN 内に存在します。攻撃者は、従来型ホームセットアップのように、ルータの「背後」にいます。この図では、攻撃者が次の 3 つの場所から攻撃を開始できると仮定しています。
- 同じサブネット:攻撃者はルータによって管理されている LAN 内に存在します。攻撃者は、従来型ホームセットアップのように、ルータの「背後」にいます。
- QuickConnect VPN:攻撃者は QuickConnect VPN に接続できます。これは、ルータを購入し、QuickConnect アカウントを設定することで可能になります。ログイン情報を入手した後は、ルータは不要になり、openvpn を手動で使用して接続を実行できます。
- MITM:攻撃者は、ルータの WAN インターフェイスとインターネット上のターゲットホストの間のパス上で中間者攻撃を実行できます。たとえば、パス上にある他のルータ(ISP など)、DNS ポイズニング機能を持つ攻撃者、侵害されたターゲットホストなどがこれに該当します。
これらの脆弱性の大半が、攻撃者に Web インターフェイスの管理者権限を与えるものであることに注意してください。なお、管理者は ssh を有効にしてデバイスにルート権限でログインできるため、Web インターフェイスの管理者権限を取得することは無制限のルート権限を取得するのと同じことになります。
上の図に示すように攻撃者が同じサブネット上に存在する場合は、次の 2 つの方法でルート権限を取得できます。
- TALOS-2020-1065
:これは Qualcomm の lbd に起因する脆弱性です。lbd はポート 7786 および 7787 を使用して LAN 経由で到達可能なサービスであり、認証なしでルートとしてシェルコマンドを直接実行できます。 - TALOS-2020-1086 および TALOS-2020-1087:TALOS-2020-1086 は JavaScript を使用して管理者の Cookie を読み取ることができる脆弱性です。Web インターフェイスのセッション Cookie に「httpOnly」フラグが欠けていることに起因します。TALOS-2020-1087 はまだ公開されていませんが、TALOS-2020-1086 と組み合わせて使用することで管理者のアクセス権を取得でき、その後、ルート権限も取得できます。
攻撃者が WAN 接続に対する中間者攻撃を実行できる場合、攻撃者は次の 3 つの方法でルート権限を取得できます。
- TALOS-2020-1061:ルータの QuickConnect VPN 接続に影響する脆弱性です。HTTPS 接続を強制的に HTTP にダウングレードするために使用される可能性があります。これにより、攻撃者は Web インターフェイスのセッション Cookie を盗み取れるようになります。セッション Cookie は、ルータ側でも管理者のブラウザ側でもプレーンテキストで送信されます(VPN 暗号が適用されないため)。
- TALOS-2020-1059 および TALOS-2020-1060:ユーザが QuickConnect を介してルータに接続しようとすると、サーバ側で HTTPS から HTTP へのダウングレードが発生する脆弱性です。QuickConnect に接続すると一連のリダイレクトが発生しますが、そのうちの 1 つが強制的に HTTP 経由で行われていました(ユーザが HTTPS 経由で要求を開始した場合でも)。「Secure」フラグが設定されていないため、攻撃者は接続を受動的にスニッフィングして管理者セッション Cookie を盗み取ることができます。
- TALOS-2020-1058:SRM は修正版の OpenVPN を使用して QuickConnect トンネルを確立し、–syno-no-verify オプションを追加します。このオプションにより、SSL 検証なしで接続が可能になります。QuickConnect という名前に反して、この脆弱性を悪用するにはいくつかの複雑な手順が必要になるため本稿では割愛します(詳細はアドバイザリをご覧ください)。この脆弱性を悪用することで攻撃者は最終的に VPN ログイン情報を盗み取り、偽の Web ユーザインターフェイスを複製して管理者のログイン情報を盗み取ることができます。
上の図に示すように、最後に説明した脆弱性(TALOS-2020-1058)は、QuickConnect VPN への侵入経路としても使用できます。TALOS-2020-1058 は脆弱性チェーンの侵入口であり、QuickConnect VPN に接続された任意のルータのルート権限を認証なしにリモートで取得される危険性があります。
実際、TALOS-2020-1058 を利用すると VPN のログイン情報を盗む取ることができるため、攻撃者は手動で OpenVPN を使用するだけで VPN に接続できます。世界中の複数のルータが同じ QuickConnect VPN に接続しますが、各ルータは独自のサブネットで IP を受信するため、通常は他のサブネットと通信できません。
現時点では、TALOS-2020-1064 が示すように、サブネットは論理的に分割されていません。実際、攻撃者は OpenVPN に接続して IP アドレスを設定した後、ネットマスクをより大きなものに変更することで、同じ VPN に接続されている他のルータと通信することができます。
通常、攻撃者はパブリック URL(「http://quickconnect.to/quickconnectid」)に含まれる QuickConnect ID を推測することで、外部からルータを列挙できます。より小さいサブネットの IP を列挙すれば早く、より多くの結果が得られることは明白です。
この段階で攻撃者は「QuickConnect VPN 内の任意のルータと通信」できる状態、つまり任意ルータの Web インターフェイスに到達可能になります。TALOS-2020-1066 で説明しているように、デバイスによって作成される VPN インターフェイスはフィルタリングされておらず、ルータに存在するすべてのサービス(LAN 経由で公開されていないサービスも含む)が VPN 内で公開されています。これは、ターゲットルータと同じサブネット内にあるのと同じ状態であるため、TALOS-2020-1065、TALOS-2020-1086、TALOS-2020-1087 などの脆弱性を利用してルート権限を取得することができます。
また、下記の脆弱性リストに示すように、脆弱性チェーンには含まれない 2 つの脆弱性(TALOS-2020-1051 および TALOS-2020-1071)も確認されています。
脆弱性の詳細
Synology SRM DHCP モニタのホスト名解析機能に起因するサービス妨害(DoS)の脆弱性(TALOS-2020-1051/CVE-2019-11823)
Synology SRM 1.2.3 MR2200ac 8017 および 1.2.3 RT2600ac 8017 の DHCP モニタのホスト名解析機能には、エクスプロイト可能なサービス妨害の脆弱性が存在します。細工されたネットワークリクエストによって境界外読み取りが発生し、サービス拒否状態に陥る危険性があります。脆弱性は、悪意のあるパケットを送信することでエクスプロイトできる可能性があります。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Synology SRM QuickConnect に起因する認証情報漏えいの脆弱性(TALOS-2020-1058/CVE-2020-27649)
Synology DSM 6.2.3 25426 DS120j の AppArmor の synosearchagent プロファイルには不適切な設定があります。細工されたカーネルモジュールをロードすることで、AppArmor の制約を回避される危険性があります。攻撃者は insmod を使用してこの脆弱性をトリガーできます。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Synology DSM の synoagentregistered サーバ検索機能に起因する境界外書き込みの脆弱性(TALOS-2020-1059/CVE-2020-27651)
Synology DSM 6.2.3 25426 DS120j の synoagentregistered サーバ検索機能には、境界外書き込みの脆弱性が存在します。細工された HTTP レスポンスが媒介となって、任意コードをリモートから実行される危険性があります。攻撃者は接続に対して中間者攻撃を実行することでこの脆弱性をエクスプロイトできる可能性があります。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Synology QuickConnect サーバの HTTP リダイレクトに起因する情報漏えいの脆弱性(TALOS-2020-1060)
Synology QuickConnect サーバの HTTP リダイレクト機能には、エクスプロイト可能な情報漏えいの脆弱性が存在します。攻撃者は、リモート QuickConnect サーバを偽装してリモートデバイスを偽装することにより、デバイスのログイン情報を盗み出せる可能性があります。攻撃者は中間者攻撃を実行することでこの脆弱性をエクスプロイトできる可能性があります。
この脆弱性は Synology のインフラストラクチャに存在していたため、CVE は割り当てられていません。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Synology SRM QuickConnect の HTTP 接続に起因する情報漏えいの脆弱性(TALOS-2020-1061/CVE-2020-27653)
Synology SRM 1.2.3 RT2600ac 8017-5 の QuickConnect の HTTP 接続機能には、エクスプロイト可能な情報漏えいの脆弱性が存在します。攻撃者はリモート VPN エンドポイントを偽装して HTTPS 接続を HTTP 接続にダウングレードし、Web インターフェイス通信をキャプチャすることで、セッション Cookie を盗み出せる可能性があります。攻撃者は中間者攻撃を実行することでこの脆弱性をエクスプロイトできる可能性があります。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Synology QuickConnect サーバのネットワークの不良構成に起因する脆弱性(TALOS-2020-1064)
Synology QuickConnect の VPN サーバには、ネットワークの不良構成に起因するエクスプロイト可能な脆弱性が存在します。サーバによるサブネット化が適切に行われないため、攻撃者は VPN に接続されている任意のデバイスにアクセスできます。この脆弱性を悪用するには、攻撃者が自身のサブネットを変更する必要があります。
この脆弱性は Synology のインフラストラクチャに存在していたため、CVE は割り当てられていません。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Synology SRM の lbd サービスに起因するコマンド実行の脆弱性(TALOS-2020-1065/CVE-2020-27654)
Synology SRM 1.2.3 RT2600ac 8017-5 と同様に、Qualcomm lbd 1.1 の lbd サービス機能には、エクスプロイト可能なコマンド実行の脆弱性が存在します。細工された debug コマンドにより任意のファイルを制御可能な内容に書き換えることで、リモートでコードが実行される危険性があります。この脆弱性は、未認証のメッセージの送信によりエクスプロイトされる可能性があります。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Synology SRM QuickConnect の iptables 機能のネットワーク不良構成に起因する脆弱性(TALOS-2020-1066/CVE-2020-27655)
Synology SRM 1.2.3 RT2600ac 8017-5 の QuickConnect の iptables 機能には、ネットワークの不良構成に起因する脆弱性が存在します。QuickConnect VPN インターフェイスから送信されるパケットはフィルタリングされていないため、デバイスで実行されている任意のネットワークサービスと無制限に通信できます。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Synology SRM の dnsExit DDNS プロバイダー機能に起因する情報漏えいの脆弱性(TALOS-2020-1071/CVE-2020-27657)
Synology SRM 1.2.3 RT2600ac 8017-5 の dnsExit DDNS プロバイダー機能には、情報漏えいの脆弱性が存在します。巧妙に細工された中間者攻撃により dnsExit のログイン情報が盗み取られ、登録済みのサブドメインが乗っ取られる危険性があります。攻撃者はリモートの dnsExit サーバを偽装することでこの脆弱性をエクスプロイトできる可能性があります。
脆弱性のアドバイザリ全文はこちらをご覧ください。
Synology SRM Web インターフェイスのセッション Cookie の HttpOnly フラグに起因する情報漏えいの脆弱性(TALOS-2020-1086/CVE-2020-27658)
Synology SRM 1.2.3 RT2600ac 8017-5 の Web インターフェイスのセッション Cookie 機能には、エクスプロイト可能な情報漏えいの脆弱性が存在します。セッション Cookie に HttpOnly フラグが存在しないため、攻撃者は JavaScript を使用してセッション Cookie にアクセスでき、XSS 攻撃を実行してセッション Cookie を盗み取ることができます。
脆弱性のアドバイザリ全文はこちらをご覧ください。
脆弱性が確認されたバージョン
Talos は、Synology SRM バージョン 1.2.3 RT2600ac 8017-5 が TALOS-2020-1051、TALOS-2020-1158、TALOS-2020-1159、TALOS-2020-1061、TALOS-2020-1065、TALOS-2020-1066、TALOS-2020-1071、および TALOS-2020-1086 の影響を受けることをテストして確認済みです。TALOS-2020-1065 は Qualcomm LBD バージョン 1.1 にも影響します。TALOS-2020-1060 および TALOS-2020-1064 は Synology QuickConnect サーバに影響します。
Synology 社は TALOS-2020-1058、TALOS-2020-1059、TALOS-2020-1061、および TALOS-2020-1071 が Synology DSM バージョン 6.2.3 25426 に影響することを確認済みです。
カバレッジ
脆弱性のエクスプロイトは、すでにリリースされている以下の SNORTⓇ ルールで検出できます。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Firepower Management Center または Snort.org を参照してください。
Snort ルール:53755、53756、53839、53840、53959、54009
本稿は 2020 年 10 月 29 日に Talos Group
Tags:
