コンテンツを開く

テーマのトレンド

エフセキュアのコンサルタントがIBM API Connectの重大なソフトウェア欠陥を発見

F-Secure Japan

05.06.19 2 min. read

エフセキュアのセキュリティコンサルタントが、銀行で使用されているソフトウェアに1組の深刻なゼロデイエクスプロイトを発見しました。攻撃者がこの2つの脆弱性を悪用に成功すると、標的に対するrootレベルの権限が取得でき、不正なコマンドが実行できる可能性があるため、組織はできるだけ迅速に更新プログラムをインストールすることが必要です。

エフセキュアのセキュリティコンサルタントのWilliam Söderberg(ウィリアム・セーダーバーグ)がこの脆弱性を発見しました。どちらの欠陥もIBM API Connect内に存在しているもので、この製品は、PSD2(決済システムを規制するヨーロッパの法律(英語))規制で義務付けられているオープンバンキングサービスをサポートするために多くの金融機関で使用されています。

「IBM API Connectは、さまざまな異なる方法で使用し実装されていることから、その影響を把握すること困難です。しかし、この欠陥により攻撃者はAPIの資格情報に不正にアクセスできるため、それをAPIへのアクセスに使用されてしまう恐れがあります。その場合、攻撃者は、標的のサービスを中断させ、内部ネットワークに最初の足場を構築する可能性もあります。」とWilliamは説明しています。

最初の脆弱性(CVE-2019-4203)は、サーバーサイドリクエストフォージェリ(SSRF)攻撃として分類されています。攻撃者が悪用に成功すると、自分の身代わりとなってリクエストが発行されるため、ポータルを「騙す」可能性があります。その後、攻撃者は応答を受け取ります。これを使用して開発者ポータルから機密ファイルを読み取るか、ポータルサーバから同じネットワーク内の他のシステムへの移動を試みることができます。

2番目の脆弱性(CVE-2019-4202)は、リモートコード実行(RCE)の脆弱性として分類されています。これは開発者ポータルのREST APIの中にあります。通常、組織は開かれたインターネットからREST APIを防御します(たとえばファイアウォールを使用して)。しかし、前述のSSRFの脆弱性を悪用することで、攻撃者はインターネットから脆弱なREST APIに到達する可能性があります。両方の脆弱性を悪用することに成功すると、攻撃者は侵入したコンピュータ上でroot権限でコマンドをリモートから実行することができます。

幸いにも、潜在的な被害を軽減するのに役立つ方法があります。

「攻撃者側にも注意すべき点があります。」とWilliamは説明しています。「防御側は安全でないTLS接続を許可しないように開発者ポータルを設定できます。これにより、RCEがインターネットから悪用される可能性が低くなります。」

IBMはこの問題に迅速に対処しており、すでに修正を公開しています。エフセキュアは、この脆弱性が深刻であり、攻撃者が悪用する可能性があることから、直ちにソフトウェアを更新することをお勧めします。

IBMは、この2つの脆弱性(CVE-2019-4202(英語)およびCVE-2019-4203(英語))に関するセキュリティ情報をWebサイトで公開しています。

F-Secure Japan

05.06.19 2 min. read

カテゴリ

コメントを残す

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

関連する投稿

Newsletter modal

ありがとうございます。登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。