Nokia Appliances の ISS RealSecure に含まれる KeyManager 問題 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

Nokia Appliances の ISS RealSecure に含まれる KeyManager 問題

国際 海外情報

[翻訳:関谷 麻美]
2002年3月22日

◆概要:
 このアドバイザリは、Nokia アプライアンスの RealSecure NIDS を使用する際の問題を記述している。開発の間、 "starscream" と呼ばれるテストシステムおよび "skank" と呼ばれるテストユーザは KeyManager の ISS.ACCESS ファイル内にある IPSO イメージに残されたまま使用された。
 NIDS の構成により、この情報を使用してそのセンサーに新しい pubkey ファイルを追加、もしくは NIDS デーモンおよびデーモン・コンポーネントの再構成あるいは制御を取得をできる可能性がある。

◆詳細:
脆弱なシステム:
RealSecure バージョン 6.0

この影響を受けないシステム:
RealSecure バージョン 6.5

 プラットフォームに RealSecure をインストールする際、ファイル名 ISS.ACCESS は下記の行を含む様々な構成設定用に作成され、使用される。

─ISS Access 6.0─
[];
[Roles];
[RolesKeyAdministrator];
[RolesKeyAdministratormachinename_username];
[RolesKeyAdministratorstarscream_skank];
[RolesMasterStatusManager];

 行 RolesKeyAdministrator は、KeyAdministrator が ISS のマシン名およびユーザ名を何と呼ぶかを決定するために使用する。このユーザは、デーモンと通信する際に使用される key を管理する能力を持っている。

 インストールの間にこの行を追加する。しかし、二番目の行 startscream_skank が "デフォルト" で IPSO に現われる。これは、他の全てのプラットフォームもしくは HIDS RealSecure 製品には存在しない。

 この脆弱性は、デーモンが何のイベントを監視し、警告するのかを含めて、あなたが KeyAdministrator として事実上、デーモンの機能を制御できる点にある。RealSecure は、必要な公開鍵をそれに送りつけるコンソール・システムに依存して構成されていることを理解することが重要であり、それは、デフォルトでのインストール設定だ。

 この IPSO をインストールするために Nokia Voyager web アプレットを使用する場合、認証を有効にするオプションはない。この場合の認証は、管理者が sneakernet もしくは他の安全なチャンネルを介して、手動で必要な鍵をセンサーにコピーしなければならないことを意味する。

この問題を緩和する要因:
 RealSecure NIDS センサーは、二つの TCP port でリッスンしており、TCP-2998 はデーモンを制御するために使用され、他方 TCP-2998 はイベントを監視するために使用される。当然のことながら、あなたはそれらの port がファイアウォールの通過を許可することを望まない。理想の状況では、NIDS センサーは監視および、他のデバイスからのアクセスが不可能なプライベート管理ネットワークを介してコンソールのみに返信することが可能な隠れたインターフェースを持つ必要がある。

 手動でコンソールシステムにコピーされる場合を除いて、コンソールから直接、新規公開鍵を受け入れることをNIDS センサーが許可しない設定も推奨される。

◆ベンダーの対応:
 私に代わって、この情報をベンダーに提供した Ring Zero に感謝する。下記に、電子メールによるISS からの返信の一部を紹介する。

Forwarded message
Date: Wed, 20 Mar 2002 12:22:05 -0500
From: "Lamb, Kris (ISS Atlanta)" <KLamb@iss.net>
To: 'Ring Zero' <ringzero@www.nmrc.org>
Subject: RE: RealSecure の 不具合

<SNIP>

starscream_skank の不具合に関する限り、それは製品開発チームからの QA box だ。QA box は IPSO に同梱される際、 iss.access に偶発的に残されてしまった。我々は Support で既にこの問題を解決し、そして全顧客にそのエントリを削除するよう通知した。IPSO 6.5 では、そのエントリは削除されている。

<SNIP>



◆解決策 / 回避方法:
 RealSecure バージョン 6.0 およびそれ以前のバージョンを稼動している場合、NIDS デーモンを停止して ISS.ACCESS ファイルを編集し、そして下記の行の削除する必要がある。

[RolesKeyAdministratostarscream_skank];

 手動で IPSO をインストールし、そして認証を有効にした場合、この問題の影響は受けないが、やはり前述の行を削除する必要があると思われる。

◆追加情報:
 hellNbak がこの情報を提供した。

[情報提供:SecuriTeam]
http://www.securiteam.com/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. フィッシング詐欺支援サービスの価格表(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  7. Mac OS X のシングルユーザモードの root アクセス(2)

  8. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×