Cybersecurity Vendors Assessing Impact of Recent OpenSSL Vulnerability
2022/03/31 SecurityWeek — 3月の初めに発生した OpenSSL の脆弱性が、自社の製品やサービスに与える影響について、セキュリティ/クラウド/ストレージなどのベンダーたちが評価を進めている。OpenSSL プロジェクトが公開した更新プログラムでは、証明書の解析に関連する深刻度の高いサービス拒否 (DoS) 脆弱性に対してパッチが適用されている。このセキュリティ・ホールは、Google の脆弱性研究者である Tavis Ormandy が報告したものであり、CVE-2022-0778 として追跡され、OpenSSL の Ver 1.0.2/1.1.1/3.0 に影響を及ぼしている。このリリースにより、Ver 1.0.2zd/1.1.1n/3.0.2 で修正されている。
この脆弱性の悪用に成功した攻撃者は、外部から提供された証明書を解析するプロセスに対して、特定の状況下で DoS 攻撃を仕掛けることができる。技術的な詳細と1つの PoC エクスプロイトが公開されており、OpenSSL に依存する製品やサービスを提供する企業は、その影響の評価が必要となっている。
水曜日に Palo Alto Networks は、脆弱性 CVE-2022-0778 の自社製品への影響について、調査中であることを顧客に伝えた。ただし、これまでに同社は、PAN-OS/GlobalProtect アプリ/Cortex XDR エージェントに、脆弱なバージョンの OpenSSL が含まれることを確認している。影響を受ける製品については、修正プログラムの開発が進められているという。
同社は、「PAN-OS ソフトウェアについては、ハードウェア/仮想ファイアウォール/Panorama アプライアンス/Prisma Access の顧客が対象となる。この脆弱性を悪用するには中間者攻撃(MITM)が必要なため、Cortex XDRエージェントとGlobal Protectアプリの深刻度が低下している」と同社は説明している。
F5 では、この OpenSSL の脆弱性は、BIG-IP と Traffix の各製品に影響するとし、パッチの適用を進めている。BIG-IP の場合は、特定のコンフィグレーションを行ったときにのみ影響が生じるという。Check Point も、複数の製品が影響を受けることを確認し、パッチをリリースしている。
Sophos の場合は、この脆弱性による影響は、ファイアウォール/UTM/Web アプライアンスなどの製品に及ぶという。同社のアドバイザリでは、3月下旬から4月にかけて、修正が予定されていることが顧客に通知されている。脆弱性 CVE-2022-0778 の影響について、現時点で調査が進められているセキュリティ・ベンダーとしては、SonicWall と Pulse Secure がある。
今週にアドバイザリを発表した QNAP は、NAS デバイス用の QTS/QuTS/QuTScloud オペレーティング・システムにおいて、いくつかのバージョンが影響を受けることを顧客に通知している。このストレージ・プロバイダーは、パッチの適用に取り組んでいるところだ。
また、オープンソースのルーター/ファイアウォール・プラットフォームである VyOS の開発者は、Ver 1.3.0 が影響を受けることを確認している。OpenSSL コンポーネントは、最近の VyOS 1.3.1 リリースで更新されている。
AWS も、簡易的なセキュリティ情報を公開し、この問題を認識していることを顧客に伝え、同社のサービスに対する影響を調査している。NetApp も、影響を受ける製品を 10数種類に特定し、パッチのリリースを開始している。
当初、Red Hat は、この欠陥の影響をダイレクトには受けないと述べていたが、さらなる調査により、Red Hat Enterprise Linux の一部のバージョンに、DoS 攻撃の脆弱性があることが判明した。他の Linux ディストリビューションもアドバイザリを発表している。
この OpenSSL の脆弱性 CVE-2022-0778 ですが、第一報は 3月16日の「OpenSSL 証明書解析の脆弱性 CVE-2022-0778 が FIX:サービス拒否が発生」であり、3月30日には「QNAP 警告:NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX」で、QNAP の問題が報じられていました。今日の記事を読むと、影響の範囲は広そうで、この跡も続報があるかもしれませんね。
IoT OT Security News 