#976 WatchGuard Firebox に領域外書き込みの脆弱性

ネットワークの出入り口を守る重要な番人であるファイアウォール製品において、非常に危険度の高い脆弱性が見つかりました。今回のニュースは、WatchGuard Technologiesが提供するセキュリティアプライアンス製品を利用している企業にとって、ただちに行動を起こさなければならない緊急の内容です。攻撃者が認証を経ずに遠隔からシステムを乗っ取ることができる上に、すでにこの脆弱性を悪用した攻撃活動も確認されています。本日はこの脆弱性の詳細なメカニズムと、サポートが終了している古いバージョンのOSを使っている場合の対処法について解説します。企業のIT担当者の皆様には、自社のネットワーク機器の管理状況を見直す良い機会となるはずです。

今回の発表は、多くの企業で導入されている統合脅威管理アプライアンス、WatchGuard Fireboxシリーズに関するものです。この製品のファームウェアであるFireware OSに、「領域外書き込み」と呼ばれる深刻な脆弱性が発見されました。これにより、悪意のある第三者が、パスワードなどの認証情報を入力することなく、インターネット経由で製品内部に侵入し、任意のプログラムを実行できてしまう恐れがあります。
特に警戒すべき点は、メーカーであるWatchGuard Technologiesが、すでにこの脆弱性を悪用したサイバー攻撃を確認していると公表していることです。つまり、理論上の危険性ではなく、現実に被害が出る可能性が高い状態です。IPAは、メーカーが提供する情報を基に、速やかに修正済みのバージョンへアップデートするよう強く呼びかけています。また、古いFireware OS 11系などは今後アップデートが提供されないため、新しいOSへのアップグレードが必要となります。

「領域外書き込み」というのは、プログラムがデータをメモリに保存する際に、あらかじめ確保された正しい場所、つまり「領域」をはみ出してデータを書き込んでしまう不具合のことです。これを悪用されると、攻撃者は本来書き込んではいけない重要な制御データなどを上書きし、システムの動作を乗っ取ることが可能になります。今回のケースでは、外部からの通信を処理する部分にこの不具合があり、結果として攻撃者が送り込んだ不正な命令がそのまま実行されてしまう、非常に危険な状態にあるといえます。

通常、システムの設定変更や内部へのアクセスにはIDやパスワードによるログイン、つまり「認証」が必要です。しかし、今回の脆弱性は、そのログイン画面にたどり着く前段階や、認証を必要としない通信処理の部分に欠陥があるため、攻撃者は正規のユーザーである証明をする必要がありません。インターネットに接続されているだけで、世界中のどこからでも攻撃が可能になってしまうため、セキュリティ担当者にとっては悪夢のようなシナリオといえるでしょう。

極めて緊急性が高いと認識してください。「悪用が確認されている」ということは、攻撃手法がすでに確立され、実際にどこかの組織が被害を受けていることを意味します。サイバー犯罪者たちの間では、こうした脆弱性情報はすぐに共有されます。パッチが公開された直後は、修正が終わっていない組織を狙い撃ちにするスキャン活動が活発化するのが通例です。したがって、検証作業に時間をかけすぎず、可能な限り早急に修正パッチを適用することが求められます。

非常に悩ましい問題ですが、セキュリティの観点からは「直ちに使用を停止する」か「ネットワークから切り離す」ことが推奨されます。サポートが終了したOSを使い続けることは、鍵の壊れた金庫を使い続けるのと同じです。もし即座に機器の入れ替えが難しい場合は、一時的な緩和策として、インターネット側からの管理画面へのアクセスを完全に遮断し、信頼できる内部ネットワークからのみ操作できるように制限するなどの設定変更でリスクを低減できるか、メーカーのドキュメントを確認する必要があります。ただし、これはあくまで一時しのぎですので、早急な移行計画が必要です。

今回の件で重要な教訓は、「境界防御デバイス自体の脆弱性管理」と「ライフサイクル管理」の重要性です。ファイアウォールなどのセキュリティ製品は、導入すれば安心と思われがちですが、それ自体もソフトウェアで動くコンピュータであり、脆弱性が潜んでいます。定期的にファームウェアを更新する運用体制を作ること、そして製品のサポート終了時期、いわゆるEOLを事前に把握し、計画的に新しい機器へ移行する予算取りをしておくことが、組織を守るための必須条件といえますね。