Eltima SDK の複数の脆弱性:Amazon WorkSpaces などのクラウドに影響をおよぼす

Eltima SDK Contain Multiple Vulnerabilities Affecting Several Cloud Service Provides

2021/12/08 TheHackerNews — この脆弱性は、Amazon Workspaces/Accops/NoMachine などのクラウド・デスクトップ・ソリューションに、知らず知らずのうちに引き継がれており、攻撃者による各種の悪意のアクティビティを行う経路となり得ると、サイバー・セキュリティ研究者たちが明らかにした。

SentinelOne の Senior Security Researcher である Kasif Dekel は、The Hacker News に掲載されたレポートの中で、「これらの脆弱性により攻撃者は、特権の拡大/セキュリティ製品を無効化 /システム・コンポーネントの上書/オペレーティング・システムの破壊といった悪意の操作を、容易に実行できるようになる」と述べている

この27件の欠陥は、Amazon Nimble Studio AMI/Amazon NICE DCV/Amazon WorkSpaces/Amazon AppStream/NoMachine/Accops HyWorks/Accops HyWorks DVM Tools/Eltima USB Network Gate/Amzetta zPortal Windows zClient/Amzetta zPortal DVM Tools/FlexiHub/Donglify で修正されている。

今回の問題は、Eltima が開発した「USB over Ethernet」機能を提供する、各種の製品に存在する。たとえば、Amazon WorkSpaces などのデスクトップ仮想化サービスにより、Web カメラなどに接続された USB デバイスを、リモート・デスクトップにリダイレクトすることを可能にする。

具体的には、USB リダイレクトを担当する “wspvuhub.sys” と “wspusbfilter.sys”という2つのドライバーに脆弱性があり、バッファオーバーフローのシナリオにつながり、カーネルモードの特権で任意のコードを実行される可能性が生じる。

SentinelOne は、「組織のネットワークにアクセス可能な攻撃者は、パッチが適用されていないシステム上でのコード実行や、ローカル特権の昇格などを行う可能性がある。その後に攻撃者は、横方向への移動などにより、より広範なネットワークにアクセスしていくこともあり得る」と指摘している。

現時点では、これらの脆弱性を悪用した形跡は見られないが、念のため、パッチを適用する前に、対象となるプラットフォームに導入されている、すべての特権的な認証情報を失効させ、アクセスログの異常を確認することが推奨されている。今回の発見は、今年に入ってから SentinelOne が発見した、ソフトウェア・ドライバーに関わる4つ目のセキュリティ脆弱性となる。

今年5の月、マウンテンビューに本社を置く SentinelOne は、Dell のファームウェア・アップデート・ドライバー dbutil_2_3.sys に、12年以上にわたって検知されなかった、多数の特権昇格の脆弱性が存在することを公表した。さらに7月には、HP/Xerox/Samsung のプリンターに使用されている sssport.sys に、2005年から検出されていなかったバッファ・オーバーフローの脆弱性があることを公表した。

さらに、9月には、HP OMEN のドライバー・ソフトウェア HpPortIox64.sys に存在する、深刻度の高い欠陥を公開した。この欠陥を悪用する脅威アクターは、管理者権限を必要とせずにカーネル・モードに権限を昇格させ、セキュリティ製品の無効化や。システムコンポーネントの上書き、さらにはオペレーティングシステムの破壊を行うことが可能であった。

Kasif Dekel は、「サードパーティ製コードの脆弱性には、膨大な数の製品/システム/エンドユーザーを危険にさらす可能性がある。そのようなコードが、クラウド・プロバイダーが提供するサービスに含まれている場合、さらに大きな影響が生じる」と述べている。

Eltima の USB over Ethernet というテクノロジーに、脆弱性があるので用心してほしいという記事ですが、この種の製品の欠陥を報告する記事は、今回が初めてのものとなります。その対象は、Eltima USB Network Gate 以外にも、Amazon/NoMachine/Accops/Amzetta/FlexiHub/Donglify に広がっているようです。Web カメラなどに接続された USB デバイスをリダイレクトするとのことなので、いろんな局面で利用されていると思います。ご用心ください。

%d bloggers like this: