Trend Micro の Hybrid Cloud Security に存在する2つの深刻な脆弱性が FIX

Trend Micro fixed 2 flaws in Hybrid Cloud Security products

2022/02/03 SecurityAffairs — Trend Micro は、同社のハイブリッド・クラウド・セキュリティ製品の一部に影響をおよぼす、2つの深刻度の高い脆弱性 (CVE-2022-23119/CVE-2022-23120) を修正するセキュリティ・アップデートを公開した。これらの脆弱性は、ワークロード・セキュリティ・ソリューションである Deep Security と Cloud One に影響するものだ。

これらの脆弱性は、サイバー・セキュリティ企業である modzero により報告され、Trend Micro がセキュリティ修正プログラムを公開した同日 (1月19日) に、PoC エクスプロイトも公開されている。専門家たちは 2021年9月に、この脆弱性を初めて Trend Micro トに報告し、10月から12月にかけてパッチをリリースした。

1つ目の問題は、ディレクト・リトラバーサルの脆弱性であり、ローカルの非特権攻撃者により、任意のファイルを読み取り、および、root 権限によるコードの注入/実行が可能となる。この脆弱性は、Trend Micro Deep Security Agent の入力において、適切なサニタイズが行われていないことに起因し、同エージェントが有効化または設定されていない場合にのみ、悪用される可能性がある。

また、エージェント・ソフトウェアには、デフォルトの CA と、ハードコードされたデフォルトの X.509 証明書 (および対応する秘密鍵) が同梱されていることが判明した。この証明書は、エージェントを起動する前に、サーバーとの通信を確立するために使用される。

modezero のアドバイザリには、「Trend Micro Deep Security Agent は、相互 TLS (mTLS) を使用してリモートサーバーを認証する。サーバーとエージェントの両方が、証明書を提示することで相互に識別する。このエージェント・ソフトウェアには、ハードコードされたデフォルトの X.509 証明書と、それに対応する秘密鍵が同梱されている。この証明書は、サーバー・コンポーネントによりエージェントがコンフィグレーション (アクティベート) されるまで、サーバーとの通信に使用される。この証明書は、/opt/ds_agent/lib/dsa_core.so という共有オブジェクト・ファイルに格納されている。このエージェント・ソフトウェアは、認証局 (CA) を使用してサーバーのアイデンティティを確立する」と記されている。

さらに、「サーバーがエージェントに接続すると、サーバーの証明書は、この CA に対して検証される。しかし、エージェントは自身の証明書も、CA として使用される。この証明書には秘密鍵が添付されているため、攻撃者が独自のサーバー証明書を作成/署名し、サーバーを模倣してクライアント・ソフトウェアにコマンドを送信することが可能になる」と続けている。

この2つの欠陥は、以下のエージェントのバージョンに影響する。

• Deep Security Agent 20.0.0-2740 for Ubuntu
• Deep Security Agent 20.0.0-2921 for Ubuntu

modzero の研究者たちは、すべての PoC エクスプロイトおよび、ツール、追加情報などを Github で公開している。

Trend Micro の Hybrid Cloud Security に脆弱性とのことですが、2021年9月29日の記事には「Trend Micro ServerProtec の深刻な脆弱性 CVE-2021-36745 が FIX」があります。つい先日も、「ESET アンチウイルス製品の脆弱性が FIX:Windows SYSTEM への権限昇格」で、アンチウィルスの脆弱性をお伝えしました。ご利用の方は、どちらもアップデートが急務ですね。

%d bloggers like this: