2017 年を振り返ると CVE 量産の年

• 元記事 InfoSec Handlers Diary Blog - 2017, The Flood of CVEs

• 2017 年に報告された CVE の数は 14600 以上で、6500 件弱だった 2015 年の 2 倍以上となっている

• その理由: リサーチャーも攻撃者もより脆弱性に対する関心を深めた、バグバウンティプログラムにより推奨された等
• IT 以外で IT 技術を多用する産業からも CVE の報告がなされていることも一要因 (テスラ、Bavarian-Motor-Works (BMW)、ホームアプライアンスメーカーの Miele、GMV 等)
• CVE に登録された脆弱性が多い製品と少ない製品では、少ない製品の方が安全か?
  • そうとは限らない。CVE 報告数が多い製品の方がユーザー数が多く、脆弱性を探そうとする人々がその分多いのかもしれないし、積極的にバグバウンティプログラムによって脆弱性を探すことを推奨しているのかもしれない
• ユーザーはどの製品を買うべきかをどう判断すればよいか?
  • メーカーが報告された脆弱性に対してとる態度を判定基準にすればよい:
    • 報告された脆弱性はタイムリー・迅速に修正されているか?
    • メーカーが脆弱性を報告したリサーチャーの口をつぐませようとして報告者に SLAPP 訴訟をけしかけるなどしていないか?
    • 報告されたメーカーは、ニュースサイトから記事を消させようなどとしていないか?

古い Samsung 製 Android スマートフォンの Web ブラウザに致命的な SOP (Same Origin Policy: 同一生成元ポリシー) の迂回問題 (CVE-2017-17692)

• 元記事 securityaffairs.co
• 元記事の一次ソース: 発見したリサーチャーのサイト datarift.blogspot.jp
• 発見者からの報告を受けた Rapid7 によるブログエントリ blog.rapid7.com

概要

• Samsung 製品にプレインストールされている Web ブラウザ Samsung Internet Browser に同一生成元ポリシーを迂回しうる問題が報告される
  • CVE-2017-17692
• SOP (同一生成元ポリシー) とは:
  • モダンなブラウザの基本的なセキュリティの仕組みで「ドメイン A の Javascript は、別のドメイン B の保有するプロパティ (cookie など) にアクセスできてはいけない」とするもの
• 本 CVE で報告された脆弱性の悪用手法:
  • 脆弱性のある Web ブラウザを使って被害者であるユーザーが攻撃者の管理下にある Web サイト A に誘導された場合、そのサイトで使われている javascript が別に開いたブラウザタブでアクセスされたサイト B のコンテンツにアクセスし、自由に書き換えることができる
  • たとえば、攻撃者が管理するサイトを開いた状態で、google.com にアクセスした場合、攻撃者側のサイトの javascript で google.com に表示されているサイトの内容を書き換え、google アカウントのユーザー名とパスワードを入力させるウィンドウを開くことで認証情報を窃取するなどが可能
  • 実際の攻撃の様子 (YouTube)

Samsung Browser SOP bypass MSF module working Client Side * 脆弱性の影響を受ける Web ブラウザのバージョン: * Samsung Internet browser 5.4.02.3 安定版 (Samsung S7 Edge) * 問題が修正されたバージョン: * 2017 年 10 月発売の Galaxy Note 8 同梱以降の Samsung Internet browser *1 * Metasploit に組み込まれた Samsung Internet Browser 用 SOP 迂回モジュール (下記サイトにアクセスするとブラウザによってはセキュリティ警告が出ることがありますので URL を無害化しています) hxxps://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/gather/samsung_browser_sop_bypass.rb