Nokia Appliances の ISS RealSecure に含まれる KeyManager 問題 | ScanNetSecurity
2024.05.05(日)

Nokia Appliances の ISS RealSecure に含まれる KeyManager 問題

[翻訳:関谷 麻美]
2002年3月22日

国際 海外情報
facebookLINE
[翻訳:関谷 麻美]
2002年3月22日

◆概要:
 このアドバイザリは、Nokia アプライアンスの RealSecure NIDS を使用する際の問題を記述している。開発の間、 "starscream" と呼ばれるテストシステムおよび "skank" と呼ばれるテストユーザは KeyManager の ISS.ACCESS ファイル内にある IPSO イメージに残されたまま使用された。
 NIDS の構成により、この情報を使用してそのセンサーに新しい pubkey ファイルを追加、もしくは NIDS デーモンおよびデーモン・コンポーネントの再構成あるいは制御を取得をできる可能性がある。

◆詳細:
脆弱なシステム:
RealSecure バージョン 6.0

この影響を受けないシステム:
RealSecure バージョン 6.5

 プラットフォームに RealSecure をインストールする際、ファイル名 ISS.ACCESS は下記の行を含む様々な構成設定用に作成され、使用される。

─ISS Access 6.0─
[];
[Roles];
[RolesKeyAdministrator];
[RolesKeyAdministratormachinename_username];
[RolesKeyAdministratorstarscream_skank];
[RolesMasterStatusManager];

 行 RolesKeyAdministrator は、KeyAdministrator が ISS のマシン名およびユーザ名を何と呼ぶかを決定するために使用する。このユーザは、デーモンと通信する際に使用される key を管理する能力を持っている。

 インストールの間にこの行を追加する。しかし、二番目の行 startscream_skank が "デフォルト" で IPSO に現われる。これは、他の全てのプラットフォームもしくは HIDS RealSecure 製品には存在しない。

 この脆弱性は、デーモンが何のイベントを監視し、警告するのかを含めて、あなたが KeyAdministrator として事実上、デーモンの機能を制御できる点にある。RealSecure は、必要な公開鍵をそれに送りつけるコンソール・システムに依存して構成されていることを理解することが重要であり、それは、デフォルトでのインストール設定だ。

 この IPSO をインストールするために Nokia Voyager web アプレットを使用する場合、認証を有効にするオプションはない。この場合の認証は、管理者が sneakernet もしくは他の安全なチャンネルを介して、手動で必要な鍵をセンサーにコピーしなければならないことを意味する。

この問題を緩和する要因:
 RealSecure NIDS センサーは、二つの TCP port でリッスンしており、TCP-2998 はデーモンを制御するために使用され、他方 TCP-2998 はイベントを監視するために使用される。当然のことながら、あなたはそれらの port がファイアウォールの通過を許可することを望まない。理想の状況では、NIDS センサーは監視および、他のデバイスからのアクセスが不可能なプライベート管理ネットワークを介してコンソールのみに返信することが可能な隠れたインターフェースを持つ必要がある。

 手動でコンソールシステムにコピーされる場合を除いて、コンソールから直接、新規公開鍵を受け入れることをNIDS センサーが許可しない設定も推奨される。

◆ベンダーの対応:
 私に代わって、この情報をベンダーに提供した Ring Zero に感謝する。下記に、電子メールによるISS からの返信の一部を紹介する。

Forwarded message
Date: Wed, 20 Mar 2002 12:22:05 -0500
From: "Lamb, Kris (ISS Atlanta)" <KLamb@iss.net>
To: 'Ring Zero' <ringzero@www.nmrc.org>
Subject: RE: RealSecure の 不具合

<SNIP>

starscream_skank の不具合に関する限り、それは製品開発チームからの QA box だ。QA box は IPSO に同梱される際、 iss.access に偶発的に残されてしまった。我々は Support で既にこの問題を解決し、そして全顧客にそのエントリを削除するよう通知した。IPSO 6.5 では、そのエントリは削除されている。

<SNIP>



◆解決策 / 回避方法:
 RealSecure バージョン 6.0 およびそれ以前のバージョンを稼動している場合、NIDS デーモンを停止して ISS.ACCESS ファイルを編集し、そして下記の行の削除する必要がある。

[RolesKeyAdministratostarscream_skank];

 手動で IPSO をインストールし、そして認証を有効にした場合、この問題の影響は受けないが、やはり前述の行を削除する必要があると思われる。

◆追加情報:
 hellNbak がこの情報を提供した。

[情報提供:SecuriTeam]
http://www.securiteam.com/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  8. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

    ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP