[翻訳:関谷 麻美]2002年3月22日◆概要: このアドバイザリは、Nokia アプライアンスの RealSecure NIDS を使用する際の問題を記述している。開発の間、 "starscream" と呼ばれるテストシステムおよび "skank" と呼ばれるテストユーザは KeyManager の ISS.ACCESS ファイル内にある IPSO イメージに残されたまま使用された。 NIDS の構成により、この情報を使用してそのセンサーに新しい pubkey ファイルを追加、もしくは NIDS デーモンおよびデーモン・コンポーネントの再構成あるいは制御を取得をできる可能性がある。◆詳細:脆弱なシステム:RealSecure バージョン 6.0この影響を受けないシステム:RealSecure バージョン 6.5 プラットフォームに RealSecure をインストールする際、ファイル名 ISS.ACCESS は下記の行を含む様々な構成設定用に作成され、使用される。─ISS Access 6.0─[];[Roles];[RolesKeyAdministrator];[RolesKeyAdministratormachinename_username];[RolesKeyAdministratorstarscream_skank];[RolesMasterStatusManager]; 行 RolesKeyAdministrator は、KeyAdministrator が ISS のマシン名およびユーザ名を何と呼ぶかを決定するために使用する。このユーザは、デーモンと通信する際に使用される key を管理する能力を持っている。 インストールの間にこの行を追加する。しかし、二番目の行 startscream_skank が "デフォルト" で IPSO に現われる。これは、他の全てのプラットフォームもしくは HIDS RealSecure 製品には存在しない。 この脆弱性は、デーモンが何のイベントを監視し、警告するのかを含めて、あなたが KeyAdministrator として事実上、デーモンの機能を制御できる点にある。RealSecure は、必要な公開鍵をそれに送りつけるコンソール・システムに依存して構成されていることを理解することが重要であり、それは、デフォルトでのインストール設定だ。 この IPSO をインストールするために Nokia Voyager web アプレットを使用する場合、認証を有効にするオプションはない。この場合の認証は、管理者が sneakernet もしくは他の安全なチャンネルを介して、手動で必要な鍵をセンサーにコピーしなければならないことを意味する。この問題を緩和する要因: RealSecure NIDS センサーは、二つの TCP port でリッスンしており、TCP-2998 はデーモンを制御するために使用され、他方 TCP-2998 はイベントを監視するために使用される。当然のことながら、あなたはそれらの port がファイアウォールの通過を許可することを望まない。理想の状況では、NIDS センサーは監視および、他のデバイスからのアクセスが不可能なプライベート管理ネットワークを介してコンソールのみに返信することが可能な隠れたインターフェースを持つ必要がある。 手動でコンソールシステムにコピーされる場合を除いて、コンソールから直接、新規公開鍵を受け入れることをNIDS センサーが許可しない設定も推奨される。◆ベンダーの対応: 私に代わって、この情報をベンダーに提供した Ring Zero に感謝する。下記に、電子メールによるISS からの返信の一部を紹介する。 Forwarded message Date: Wed, 20 Mar 2002 12:22:05 -0500From: "Lamb, Kris (ISS Atlanta)" <KLamb@iss.net>To: 'Ring Zero' <ringzero@www.nmrc.org>Subject: RE: RealSecure の 不具合 <SNIP>starscream_skank の不具合に関する限り、それは製品開発チームからの QA box だ。QA box は IPSO に同梱される際、 iss.access に偶発的に残されてしまった。我々は Support で既にこの問題を解決し、そして全顧客にそのエントリを削除するよう通知した。IPSO 6.5 では、そのエントリは削除されている。<SNIP>◆解決策 / 回避方法: RealSecure バージョン 6.0 およびそれ以前のバージョンを稼動している場合、NIDS デーモンを停止して ISS.ACCESS ファイルを編集し、そして下記の行の削除する必要がある。[RolesKeyAdministratostarscream_skank]; 手動で IPSO をインストールし、そして認証を有効にした場合、この問題の影響は受けないが、やはり前述の行を削除する必要があると思われる。◆追加情報: hellNbak がこの情報を提供した。[情報提供:SecuriTeam]http://www.securiteam.com/
