HP Teradici PCoIP に影響をおよぼす OpenSSL の脆弱性 CVE-2022-0778

Critical HP Teradici PCoIP flaws impact 15 million endpoints

2022/04/12 BleepingComputer — HP は、Windows/Linux/macOS 向けの Teradici PCoIP クライアント/エージェントに存在する深刻な脆弱性が、1500万台のエンド・ポイントに影響を与える可能性があるとして、警告を発している。先日に公開された OpenSSL 証明書解析バグにより、Teradici にに無限ループが生じることが発見された。

Teradici PCoIP (PC over IP Remote Display Protocol) は、数多くの仮想化製品ベンダーにライセンスされている、独自のリモート・デスクトップ・プロトコルであり、2021年に HP が買収し、その後に自社製品で使用している。公式サイトによると、Teradici PCoIP 製品は 1500万台のエンドポイントに導入され、政府機関/軍部/ゲーム開発会社/放送会社/報道機関などをサポートしているようだ。

深刻な無限ループと整数オーバーフロー

HP は、2つのアドバイザリ (12) において、10件の脆弱性を公開しており、そのうちの3件は Critical (CVSS v3:9.8)、8件は High、1件は Medium と分類されている。

このアップデートで修正された、最も深刻な脆弱性 CVE-2022-0778 は、悪意を持って細工された証明書を解析することで引き起こされる、OpenSSL のサービス拒否の欠陥である。この欠陥により、ソフトウェアが応答しなくなる無限ループが発生するが、この製品が重視するミッションクリティカルなアプリケーションを考慮すると、この種の攻撃によるリモート・アクセスの停止は、かなりの破壊力を持つことになる。

また、修正された深刻な脆弱性群には、CVE-2022-22822/CVE-2022-22823/CVE-2022-22824 があり、いずれも libexpat における整数オーバーフロー/無効なシフトの問題であり、制御不能なリソース消費/権限の昇格/リモートコード実行の可能性を生じるものだ。残りの5脆弱性は、深刻な整数オーバーフローの不具合であり、CVE-2021-45960/ CVE-2022-22825/CVE-2022-22826/CVE-2022-22827/CVE-2021-46143 として追跡される。

上記の脆弱性の影響を受ける製品は、Windows/Linux/macOS 用の PCoIP クライアント/クライアントSDK/Graphics Agent/Standard Agent となる。すべての問題に対処するためには OpenSSL 1.1.1n と libexpat 2.4.7 を使用する、Teradici バージョン 22.01.3 以降へのアップデートが推奨される。2022年4月4日/5日に、HP はセキュリティ・アップデートを公開しているため、それ以降に Teradici を更新しているなら安全である。

OpenSSLの影響

OpenSSL の DoS 脆弱性は広範囲に影響が及んでいるため、壊滅的な攻撃につながる欠陥ではないにしても、重大な問題であることに変わりはない。先月末も、QNAP の NAS デバイスの大半が、CVE-2022-0778 に対して脆弱であると警告され、ユーザーに対して早急なアップデート適用が促された。先週には、Palo Alto Networks の VPN/XDR/ファイアウォール製品の顧客に対して同様の警告が発せられ、セキュリティ・アップデートと緩和策が提供された。

OpenSSL の 脆弱性 CVE-2022-0778 ですが、3月30日の「QNAP 警告:NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX」と、「Palo Alto Networks の Firewall/VPN に OpenSSL の脆弱性が影響をおよぼす」に続き、これで3件目です。ただし、3月31日の「OpenSSL の脆弱性 CVE-2022-0778 の追跡調査:各ベンダーたちの現状について」には、F5/Sophos/AWS/RedHat などの名前が並んでします。

%d bloggers like this: