Blue Coat BCAAA の Windows サービスにおけるバッファオーバーフローの脆弱性(Scan Tech Report) | ScanNetSecurity
2021.11.28(日)

Blue Coat BCAAA の Windows サービスにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

1.概要 Blue Coat BCAAA の Windows サービスに、バッファオーバーフローを引き起こしてしまう脆弱性が報告されました。 リモートの第三者に悪用された場合、BCAAA を不正に停止される、あるいはシステム上で不正な操作を実行される可能性があります。 BCAAA の SSO 認証

脆弱性と脅威 エクスプロイト
1.概要
Blue Coat BCAAA の Windows サービスに、バッファオーバーフローを引き起こしてしまう脆弱性が報告されました。
リモートの第三者に悪用された場合、BCAAA を不正に停止される、あるいはシステム上で不正な操作を実行される可能性があります。
BCAAA の SSO 認証情報の同期機能が有効な環境では、深刻な影響を受ける可能性があるため、対象のユーザは可能な限り以下に記載する対策を実施することを推奨します。


2.深刻度(CVSS)
CVE-ID 未割り当てのため、現状なし


3.影響を受けるソフトウェア
Blue Coat BCAAA ビルド 60258 より前のバージョン

※2011/4/21 より前にリリースされた ProxySG 4.2.3/4.3/5.2/5.3/5.4/5.5/6.1, ProxyOne に同梱される BCAAA は、この脆弱性の影響を受けます。


4.解説
ブルーコート認証/認可エージェント (BCAAA: Blue Coat Authentication and Authorization Agent) は、ProxySG アプライアンスと特定の認証方式 (IWA, Netegrity SiteMinder など) の間を仲介するソフトウェアエージェントであり、SGOS とは別のシステムにインストールする必要があります。
BCAAA をインストールした Windows サーバでは、BCAAA インスタンス間のシングルサインオン (SSO) 認証情報を同期するために、既定でポート (16102/tcp) を利用して通信を行います。

BCAAA の Windows サービス (bcaaa-130.exe) には、過度に大きなサイズの不正なパケットを処理した場合、バッファオーバーフローが発生する脆弱性が存在します。

リモートの攻撃者に悪用された場合、BCAAA がクラッシュしサービス不能状態に陥る、あるいは Local System 権限 (NT AUTHORITYSYSTEM) で任意のコードが実行可能となります。

この脆弱性は、SSO 認証情報の同期機能が有効な場合に影響を受ます。
なお、ProxySG 5.3.2.18 以降 (5.3.3.1 除く)、ProxySG 5.4.1.12 以降、ProxySG 5.5/6.1 以降に同梱される BCAAA においては、BCAAA をインストールした際に自動で当該機能が有効に設定されることが、Blue Coat 社より報告されています。


5.対策
(Web非公開)

6.ソースコード
(Web非公開)

(執筆:株式会社ラック コンピュータセキュリティ研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《ScanNetSecurity》

PageTop

特集

アクセスランキング

  1. 「Emotet」テイクダウンから復活 ~ トレンドマイクロが動向やテイクダウン前との違いを解説

    「Emotet」テイクダウンから復活 ~ トレンドマイクロが動向やテイクダウン前との違いを解説

  2. Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report)

    Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report)

  3. トレンドマイクロ、BEC攻撃者が悪用する5つの主要なメールチャネルについて解説

    トレンドマイクロ、BEC攻撃者が悪用する5つの主要なメールチャネルについて解説

  4. サイバー攻撃者とハンティングチーム 365日間の「対話」~ CrowdStrike  2021年度 脅威ハンティングレポート公開

    サイバー攻撃者とハンティングチーム 365日間の「対話」~ CrowdStrike 2021年度 脅威ハンティングレポート公開PR

  5. 日本薬学会Webサイトへ不正アクセス、緊急メンテナンスを実施し復旧

    日本薬学会Webサイトへ不正アクセス、緊急メンテナンスを実施し復旧

  6. Googleフォームの誤設定事案、コロナ感染防止策用の健康調査リストが閲覧可能に

    Googleフォームの誤設定事案、コロナ感染防止策用の健康調査リストが閲覧可能に

  7. もし我が社が米諜報機関からサイバー攻撃されたら ~ 某旅行予約サイトの対応

    もし我が社が米諜報機関からサイバー攻撃されたら ~ 某旅行予約サイトの対応

  8. ビルの停電復旧後、電話交換機が自動で起動せず大阪市保健所の電話が一部不通に

    ビルの停電復旧後、電話交換機が自動で起動せず大阪市保健所の電話が一部不通に

  9. C&Cサーバ検知と通信の秘密、総務省「電気通信事業におけるサイバー攻撃への適正な対処 第四次とりまとめ」公表

    C&Cサーバ検知と通信の秘密、総務省「電気通信事業におけるサイバー攻撃への適正な対処 第四次とりまとめ」公表

  10. 2022年1~12月の Microsoft 月例パッチ公開予定

    2022年1~12月の Microsoft 月例パッチ公開予定

ランキングをもっと見る