セキュリティアドバイザリ:OpenSSL の新たな脆弱性 #aqua #セキュリティ #openssl
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2022年10月28日に公開された「 Updated Security Advisory: New OpenSSL Vulnerabilities 」の日本語翻訳です。
セキュリティアドバイザリ:OpenSSL の新たな脆弱性
OpenSSL プロジェクトは、深刻度「critical」の新たな脆弱性を発表しました。(その後、2022年11月1日付で「high」に格下げされました。そのため、最初の発表記事は、追加の修正ガイダンスを反映するために更新されています)
OpenSSLについて
OpenSSL は、TLS プロトコルを実装するためのオープンソースの選択肢をユーザに提供し、証明書の作成と署名、または安全なネットワーク通信を実証する秘密鍵の作成を可能にする暗号化ライブラリを提供します。例えば、HTTPS には SSL 証明書が必要であり、Chrome、Firefox、その他数え切れないほどのアプリケーションで必須要件となっています。GitHub だけで、4100万件もコード参照されています。
影響範囲
現時点では、更新リリースである OpenSSL 3.0.7 を除くすべての OpenSSL 3.0 バージョンに潜在的な脆弱性があることが明らかになっています。この脆弱性には、悪用されるかどうかを決定するいくつかの依存関係があります。例えば、スタックオーバーフローの保護は、リモートでのコード実行の可能性を軽減することが分かっています(ただし、代わりにクラッシュが起こる可能性もあります)。脆弱性についての公式ガイダンスでは、「信頼できないソースから受け取った x.509 証明書を検証する OpenSSL 3.0 アプリケーションは、脆弱性があると見なされるべきである」と述べられています。OpenSSL 3.0 は、2021年9月7日にリリースされました。OpenSSL 1.x はリリースから12年が経過していますが、OpenSSL 1.1.1 および 1.0.2 はこの問題の影響を受けません。
OenSSLの脆弱性について
11月1日に発表された内容では、脆弱性は当初考えられていたよりも軽微であり、重要度は低いとされました。CVE-2022-3602 は、広範なテストの結果、リモートコード実行の可能性が当初考えられていたよりも低いと判断されたため、深刻度レベルを「high」に引き下げました。また、2つ目の脆弱性である CVE-2022-3786 も深刻度「high」とされました。
これらの脆弱性では、アプリケーションとウェブサーバ間の証明書交換(安全な通信のため)において、攻撃者が理論上、悪意のある証明書を作成し、ウェブサーバをダウンさせたり、バッファオーバーフローを引き起こすことによってリモートコード実行をしたりすることができます。この場合、影響を受けるウェブサーバに接続しているアプリケーションはすべてクラッシュします。このような事態を防ぐためには、この悪用を許さないバージョンの OpenSSL を使用する必要があります。
一般的なプラットフォームでリモートコード実行(RCE)が発生する可能性は、ほとんどありません。しかし、条件は影響を受ける OpenSSL ライブラリと共に使用されるプラットフォームとコンパイラの組み合わせによって変化します。現時点では、RCE の悪用は確認されていません。
脆弱性の検出と緩和の方法
事前発表に基づき、脆弱性が存在する可能性のある箇所を既に特定している場合、先手を打つことができます。ソフトウェア部品表(SBOM)を検索し、脆弱な OpenSSL ライブラリがどこで使用され、実行されているかを特定できます。Aqua の サプライチェーンセキュリティソリューションの動画をご覧ください。
Aqua のサプライチェーンセキュリティソリューションをご利用のお客様は、すべてのイメージ、コンテナ、ホストに OpenSSL 脆弱性の有無を照会できます。
また、OpenSSL のバージョンが影響を受けている証拠がある場合、これらのイメージ/コンテナ/ホストを非準拠とする Assurance Policy を作成できます。このプロセスのデモは、こちらをご覧ください。
オープンソースの Aqua Trivy スキャナーを使用している場合、その SBOM を利用して OpenSSL の使用状況を見つけることができます。
Aqua は影響を受けるか
Aquaは、影響を受けないバージョンの OpenSSL を使用したベースイメージを使用しています。
まとめ
この OpenSSL の脆弱性は、世界中の影響を受けるシステムおよび組織に混乱を引き起こす可能性があります。この脆弱性の深刻度は低下しましたが、影響を受けるユーザは、潜在的な脆弱性を特定し、直ちに是正するためにあらゆる手段を講じる必要があります。
Aqua のソフトウェアサプライチェーンセキュリティソリューションの無料アセスメントにサインアップして、影響を把握、修復することで、さらなる影響を未然に防いでください。また、Trivy を利用すれば、お客様の環境への影響を素早く確認できます。