Critical Vulnerabilities in Bitdefender Total Security Expose Users to Man-in-the-Middle Attacks
2024/10/18 SecurityOnline — Bitdefender が発表した緊急アドバイザリは、同社の Total Security 製品の HTTPS スキャン機能に発見された、3つの深刻な脆弱性に関するものだ。これらの脆弱性の悪用に成功した攻撃者は、ユーザーの通信に対する傍受/操作を達成し、機密データを危険にさらす可能性を手にする。
脆弱性 CVE-2023-6055/CVE-2023-6056/CVE-2023-6057 は、Bitdefender Total Security ににおける Web サイト証明書の検証方法に関連するものだ。この脆弱性により、Total Security 製品群は、特定タイプの証明書を適切に精査できず、中間者 (MITM:man-in-the-middle) 攻撃に対して脆弱な状態になっていた。これらの3つの脆弱性に対しては、CVSSv4 スケールで深刻度スコア 8.6 が付けられており、ユーザーのセキュリティにとって深刻なリスクが生じている。
Bitdefender のアドバイザリには、「Bitdefender Total Security の HTTPS スキャン機能に脆弱性が確認されており、ソフトウェアが Web サイト証明書を適切に検証できないという問題がある」と記されている。
それぞれの脆弱性の詳細は下記の通りだ:
- CVE-2023-6055:Server Authentication 仕様の欠如による、証明書の不適切な検証の脆弱性。
- CVE-2023-6056:RIPEMD-160 ハッシュ・アルゴリズムを使用する自己署名証明書の、安全が確保されない脆弱性。
- CVE-2023-6057:DSA 署名アルゴリズムで署名された証明書の、安全が確保されない脆弱性。
これらの脆弱性の悪用に成功した攻撃者は、中間者攻撃のポジションを確立し、ユーザー・トラフィックの傍受や、認証情報の窃取に加えて、悪意のコード注入なども可能にする。それにより、甚大な被害がユーザーにもたらされる可能性が生じる。特に、機密情報への安全なアクセスが重要とされる、オンライン・バンキング/オンライン・ショッピングのユーザーたちにとって深刻な事態となる。
すでに Bitdefender は、製品バージョン 27.0.25.115 への自動更新をリリースし、これらの脆弱性に対処している。
Bitdefender Total Security のユーザーに強く推奨されるのは、ソフトウェアを最新バージョンに更新し、これらのリスクを軽減することだ。この脆弱性の発見が浮き彫りにするのは、信頼のおけるセキュリティ製品であっても、ソフトウェアの更新とセキュリティ・パッチに注意を払うことの必要性である。
Bitdefender の HTTPS スキャン機能に存在する脆弱性により、Web サイト証明書を適切に検証できないという問題が生じ、悪用に成功した脅威アクターが中間者攻撃のポジションを確立するとのことです。すでにアップデートで提供されていますので、ご利用のチームは修正を ご検討ください。よろしければ、Bitdefender で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.