News

セキュリティエンジニアが気になったニュースまとめ 2022/9/26~10/2
2022.10.05

セキュリティエンジニアが気になったニュースまとめ 2022/9/26~10/2

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2022/09/29

複数の家電製品におけるサービス拒否(DoS)の脆弱性及び悪意のあるスクリプトを含んだメッセージを応答する脆弱性

https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-011.pdf

三菱電機製の複数の家電製品において、解放済みメモリの使用(CWE-416)及びクロスサイトスクリプティング(CWE-79)に起因する、サービス拒否(DoS)の脆弱性及び悪意のあるスクリプトを含んだメッセージを応答する脆弱性が、存在することが判明しました。この脆弱性を悪意のある攻撃者に悪用された場合、該当製品がサービス拒否(DoS)状態に陥ったり(CVE-2022-29859)、該当製品が悪意のあるスクリプトを含んだメッセージを応答することにより、ブラウザ上で悪意のあるスクリプトが実行され、情報漏えい等が発生する可能性があります(CVE-2022-33322)。本脆弱性の影響を受ける製品名を以下に示しますので、対策又は軽減策・回避策の実施をお願いいたします。

三菱電機製の複数の家電製品に解放済みメモリの使用とクロスサイトスクリプティングの脆弱性が存在することが判明しました。
エアコンや冷蔵庫など三菱電機の家電を使用している人も多いと思いますが、影響があるのはあくまでネットに繋いでいる場合になります。
 

2022/09/29

複数の当社家電製品における情報漏えいの脆弱性

https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2022-010.pdf

三菱電機製の家電製品に、HTTP 接続で Basic 認証を使用していることに起因する、情報漏えいの脆弱性が存在することが判明しました。HTTP 接続で Basic 認証を使用すると、第三者が盗聴により認証情報(ユーザ名、パスワード)を入手することができます。第三者への認証情報(ユーザ名、パスワード)の漏えいは不正アクセスにつながります。この脆弱性を悪意のある攻撃者に悪用された場合、結果として情報漏えい又は情報改ざんが発生したり、当該製品がサービスの停止(DoS)状態に陥る等の可能性があります(CVE-2022-33321)。本脆弱性の影響を受ける製品名を以下に示しますので、対策又は軽減策・回避策の実施をお願いいたします。

該当する三菱電機製の製品は暗号化されていないHTTP接続でBasic認証を使用しているため、悪意ある攻撃者が通信を盗聴することで認証情報を窃取される可能性があります。
そのため、同じネットワークに攻撃者が侵入しないよう、それらの家電が接続している無線LANルーターのセキュリティが重要になります。無線LANにパスワードをかけるのはもちろんのこと、暗号化モードもWPA2やWPA3といった安全なものを使用するようにしましょう。
 

2022/10/01

「OWASP ModSecurity Core Rule Set(CRS)」に複数の脆弱性

https://coreruleset.org/20220919/crs-version-3-3-3-and-3-2-2-covering-several-cves/

CVE-2022-39955 – Content-Type ヘッダーに複数の文字セットが定義されている
CVE-2022-39956 – Content-Type または Content-Transfer-Encoding MIME ヘッダー フィールドの悪用
CVE-2022-39957 – 文字セット受け入れヘッダー フィールドにより、応答ルール セットがバイパスされる
CVE-2022-39958 – 応答ルール セットのバイパスにつながる狭い範囲のヘッダー

ModSecurityは無償で利用できるオープンソースのWAF(Web Application Firewall)です。
よく比較されるIDS/IPSはOSやミドルウェアに対する攻撃を幅広く検知・防御するのに対して、WAFはWebアプリケーションへの攻撃に特化して防御します。
本脆弱性は、ModSecurityに使われる攻撃検出のためのルールセットにおいて、本来、攻撃を検知して防御しなければいけないところを回避されてしまうというものです。
 

まとめのまとめ

今回、三菱電機の家電への報告が多くありましたが、他社製品でも同様の脆弱性が存在する可能性は十分に考えられます。
どんな製品やサービスも完璧なものはないということを念頭に置いて、複数のセキュリティ対策を講じておきたいです。

担当:HT

Recent News

Recent Tips

Tag Search