Microsoft Defender for IoT の深刻な脆弱性:PoC エクスプロイトが公開

Critical Vulnerabilities Found in Microsoft Defender for IoT

2022/03/29 SecurityWeek — 継続的な NDR (Network Detection and Respons) 機能を備えた Defender for IoT は、さまざまな IoT/OT/ICS デバイスをサポートし、オンプレミスとクラウドの双方へのデプロイメントが可能である。その Defender for IoT における、2つの深刻な脆弱性 CVE-2021-42311/CVE-2021-42313 は CVSS 値 が 10 であり、2021年12月の Microsoft Patch Tuesday で対処されている。どちらも SQL インジェクションの脆弱性であり、リモートの攻撃者による認証なしの悪用が可能となり、任意のコード実行を許すことになる。トークン検証プロセスに存在する CVE-2021-42313 は、UUID パラメータのサニタイズの欠如に起因すると SentinelLabs は説明している。

研究者たちによると、この脆弱性により、SQL の特殊コマンドの挿入/更新/実行が可能になるとのことだ。彼らは、このバグを悪用することで、データベースからログインしたユーザーのセッション ID を抽出し、完全なアカウント乗っ取りにつながる PoC エクスプロイト・コードを考え出した。

脆弱性 CVE-2021-42311 は、別の機能で実行されるが、トークン検証プロセスにも関連している。検証に使用される API トークンが、Defender for IoT インストール間で共有されてしまうことに起因している。

2021年6月に SentinelLabs は、Microsoft Defender for IoT の、2つの深刻な脆弱性 CVE-2021-42312/CVE-2021-42310と、RCDCAP オープンソース・プロジェクトの脆弱性 CVE-2021-37222 の3件などを、Microsoft に報告した。

SentinelLabs は CVE-2021-42310 について、Python Web API と Java Web API で構成される Azure Portal のパスワード回復機構に関連しており、TOCTOU (Time of Check Time of Use) 脆弱性の脆弱性が存在すると説明している。

この機構では、パスワード・リセットのページでユーザーがアップロードする、署名付きパスワード・リセット ZIP ファイルが使用される。しかし、このセキュリティ・バグのために、別のユーザーの署名入り ZIP ファイルを用いて、悪意の JSON を含む ZIP ファイルの作成が可能になっていた。

この攻撃により、特権ユーザーである cyberx (2020年に Microsoft は CyberX を買収し Defender for IoT を構築) のパスワードを取得し、root 権限でコードを実行される可能性があった。

そして、研究者たちは、パスワードの変更機構に影響を与える単純なコマンド・インジェクションの問題を発見し、CVE-2021-42312 の一部として対処した。SentinelLabs は、「これらの脆弱性が実際に悪用された証拠はないが、クラウド・プラットフォームにパッチが適用される前に、プラットフォームに展開された特権資格情報を取り消し、アクセス・ログに異常がないかをチェックすることを、さらに推奨する」と述べている。

一連の脆弱性である CVE-2021-42310〜42313 と CVE-2021-37222 は、2021年12月15日の Patch Tuesday で対応されていますが、その中の Defender for IoT については、3月28日に SentinelOne から、PoC エクスプロイトが公開されたとのことです。このブログでは、Defender for IoT は初登場ですが、Defender シリーズについては、いくつかの記事をポストしています。よろしければ、Defender で検索も、ご利用ください。

%d bloggers like this: