エフセキュアのセキュリティコンサルタントが、銀行で使用されているソフトウェアに1組の深刻なゼロデイエクスプロイトを発見しました。攻撃者がこの2つの脆弱性を悪用に成功すると、標的に対するrootレベルの権限が取得でき、不正なコマンドが実行できる可能性があるため、組織はできるだけ迅速に更新プログラムをインストールすることが必要です。
エフセキュアのセキュリティコンサルタントのWilliam Söderberg(ウィリアム・セーダーバーグ)がこの脆弱性を発見しました。どちらの欠陥もIBM API Connect内に存在しているもので、この製品は、PSD2(決済システムを規制するヨーロッパの法律(英語))規制で義務付けられているオープンバンキングサービスをサポートするために多くの金融機関で使用されています。
「IBM API Connectは、さまざまな異なる方法で使用し実装されていることから、その影響を把握すること困難です。しかし、この欠陥により攻撃者はAPIの資格情報に不正にアクセスできるため、それをAPIへのアクセスに使用されてしまう恐れがあります。その場合、攻撃者は、標的のサービスを中断させ、内部ネットワークに最初の足場を構築する可能性もあります。」とWilliamは説明しています。
最初の脆弱性(CVE-2019-4203)は、サーバーサイドリクエストフォージェリ(SSRF)攻撃として分類されています。攻撃者が悪用に成功すると、自分の身代わりとなってリクエストが発行されるため、ポータルを「騙す」可能性があります。その後、攻撃者は応答を受け取ります。これを使用して開発者ポータルから機密ファイルを読み取るか、ポータルサーバから同じネットワーク内の他のシステムへの移動を試みることができます。
2番目の脆弱性(CVE-2019-4202)は、リモートコード実行(RCE)の脆弱性として分類されています。これは開発者ポータルのREST APIの中にあります。通常、組織は開かれたインターネットからREST APIを防御します(たとえばファイアウォールを使用して)。しかし、前述のSSRFの脆弱性を悪用することで、攻撃者はインターネットから脆弱なREST APIに到達する可能性があります。両方の脆弱性を悪用することに成功すると、攻撃者は侵入したコンピュータ上でroot権限でコマンドをリモートから実行することができます。
幸いにも、潜在的な被害を軽減するのに役立つ方法があります。
「攻撃者側にも注意すべき点があります。」とWilliamは説明しています。「防御側は安全でないTLS接続を許可しないように開発者ポータルを設定できます。これにより、RCEがインターネットから悪用される可能性が低くなります。」
IBMはこの問題に迅速に対処しており、すでに修正を公開しています。エフセキュアは、この脆弱性が深刻であり、攻撃者が悪用する可能性があることから、直ちにソフトウェアを更新することをお勧めします。
IBMは、この2つの脆弱性(CVE-2019-4202(英語)およびCVE-2019-4203(英語))に関するセキュリティ情報をWebサイトで公開しています。
カテゴリ