2017-12-16 セキュリティニュースまとめ
EmbedThis 社のGoAhead web サーバー 3.6.5 未満の全てのバージョンにリモートコード実行の脆弱性 (CVE-2017-17562)
- 報告者によるレポート elttam - Remote LD_PRELOAD Exploitation
概要
- GoAhead web サーバーは、IoT 製品などに広く利用されている組み込み向け web サーバー
- 主なユーザーとして挙げられている企業は EmbedThis 社のマーケティングページに「Who's Using GoAhead」として記載されている
項目 | 概要 |
---|---|
影響を受ける製品 | GoAhead web サーバー |
影響を受けるバージョン | 少なくとも 2.5 以降から 3.6.5 未満のバージョン (3.6.5 は含まない、2.5 未満のバージョンはテストできず) |
修正バージョン | 3.6.5 またはそれ以降 |
CVE | CVE-2017-17562 |
影響数予測 | 「SHODANでの検索結果に基づくなら73万台以上が GoAhead web サーバーを利用している」※ ただし開発者が本調査報告書に対してコメントした内容によれば、「CGI はサイズが大きく動作が重いため企業ユーザには使用を推奨しておらず、ほとんどの場合はインメモリのスクリプトを利用しているので実際の台数はもっと少ないだろう」とのこと |
エクスプロイトの条件 | CGI が有効でかつ CGI プログラムが動的にリンクされる場合 |
AWS 上に保存された大量の医療データ、不適切な設定により誰でもアクセス可能な状態に: チェックツールで確認を
- 元記事 (Kromtech Security Center) mackeepersecurity.com
概要
- Amazon S3 上に巨大な PDF ストレージが保護されない状態で保存されていることを Kromtech Security Center のセキュリティリサーチャーが突き止める
- データの所有者は米国に本籍をおく某デジタルレコード管理会社らしいことが判明
- 同リサーチャーからの連絡を受け、所有者に連絡をし、データの保護対策をただちに実施
- 某プロプライエタリツールを使い、Amazon S3 環境内のパブリックなバケットに紐づく一意な URL 名を解読するとデータへのアクセスが可能に
- 一度直接アクセスができるようになれば、AWS のデータ暗号化をバイパスし、その直リンク経由でファイルやフォルダにアクセスし、コピーできる
- 当該 Amazon S3 に、同リサーチャー以外がアクセスした痕跡は確認されていない
- 同問題の確認のためにダウンロードされた資料は廃棄済み
- この設定ミスはヒューマンエラーで悪意のある攻撃の結果ではなさそう
- 今回確認されたデータは、HIPAA 法で保護されるべき機微な個人情報が多数含まれた医療データであったことが確認されている
- HIPAA 法で保護されているデータを故意にあるいは怠惰により漏洩した場合、非常に重い罰金が課せられる
- 自身の Amazon S3 バケットが同様の設定ミスをしていないかチェックするツールが作成されているのでチェックをしてみることを推奨
- Kromtech Security Center では通知を受けたデータ管理会社の対応を高く評価「他の企業のように報告者を黙らせようとするのではなく、ただちに必要な対策をした上で、影響を受けた顧客への通知も迅速に行ったインシデント対応の見本例」