CVE-2023-7163: A Maximum Threat to D-Link D-View’s Network Security
2023/12/31 SecurityOnline — D-Link D-View は、ネットワーク管理ソフトウェア・スイートであり、有線/無線ネットワークを監視/管理に加えて、トラブル・シューティングなどの機能を、あらゆる規模の組織に提供するものだ。その D-Link D-View 8 2.0.2.89 以下に、深刻な脆弱性 CVE-2023-7163 (CVSSv3:10.0) が発見され、その堅牢性に影を落としている。
この脆弱性 CVE-2023-7163 の悪用に成功した攻撃者は、D-View サービスのインベントリ精査の操作が可能になり、重大な情報漏えいにつながる可能性がある。Tenable のセキュリティ研究者たちは、この脆弱性の技術的詳細および PoC を公開し、また、甚大な被害が生じる可能性を示唆している。
脆弱性 CVE-2023-7163 は、D-View 8 の Probe サーバの扱い方に起因する。認証されていないリモートの攻撃者が、Core サーバに “probe-online” タスクを送信することで、Probe サーバを装うことが可能になる。この操作により、攻撃者が制御する偽の Probe サーバがシステムに溢れ、D-View 8 の Web UI と MongoDB コレクションである DView8_Probe が破壊される。さらに、攻撃者がコントロールする Probe サーバがネットワーク・ディスカバリーに使用されると、偽のデバイス情報が Core サーバに送信される。
その攻撃プロセスは、さらに複雑になる。DView8_Task MongoDB コレクションに格納された D-View 8 タスクは、probeId や taskStatus などの条件に基づいて、Probe サーバにより定期的にフェッチされる。正規の Probe サーバの probeId を知っている攻撃者は、これらのタスクを傍受できる。特に攻撃者が Probe サーバと同じ LAN を共有している場合には、サーバの MAC アドレスに基づく probeId が、脆弱性を持つことになる。
D-View 8 のタスクは、SNMP や WMI のログイン情報などの、ネットワーク・スキャンで使用される機密情報を運ぶ可能性がある。たとえば、add-discovery タスクは、手動ネットワーク・ディスカバリーやスケジュールされたスキャンをトリガーするものであり、攻撃者に傍受される可能性のある認証情報を含んでいる。同様に、tool-cli タスクは、発見されたデバイスに接続するための SSH 認証情報を含んでいる。
攻撃者が、合法的な Probe サーバ用のタスクの傍受に成功した場合には、単なるデータ窃盗に留まらない状況へと陥る。正規のサーバは、taskStatus が更新されたことを検出し、サービス拒否状態が発生する。
この脆弱性 CVE-2023-7163 は、間違いなく憂慮されるべきものだ。ただし、それ以上に問題なのは、ベンダーからの対応が無いことだ。D-Link からのパッチやソリューションが遅れると、D-View 8 のユーザーは、上記の危険に晒されることになる。
D-Link D-View 8 に依存している企業は、この脆弱性を認識することが必要である。そして、何らかのセキュリティ対策を実施することは、常に存在するサイバー攻撃の脅威からデジタル・インフラを守る上で極めて重要なステップといえる。
D-Link の D-View にゼロデイ脆弱性 CVE-2023-7163 です。現時点で、NVD にもエントリーされていますが、参照 URL は Tenable のみであり、D-Link からは何の情報も提供されていません。PoC も公開されているので、早急のアップデートが望まれます。よろしければ、D-Link で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.