Loading...

ナレッジセンター


McAfee Security Bulletin - McAfee SIEM / Nitro アプライアンスで使用されるサードパーティ製品の重大な脆弱性について
セキュリティ情報 ID:  SB10049
最終更新:  2014/02/13

概要

概要:
このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の種類: [詳細] 項目参照
CVE 番号: 複数対象 (下記参照)
US CERT 番号: なし
重大度: 重大 (Critical)
CVSSスコア: 10.0
推奨する対策: [緩和策] 項目参照
セキュリティ情報の修正: なし
備考: なし
影響を受ける製品: [対象製品] 項目参照

 

説明

詳細:

重大な脆弱性が、McAfee SIEM / Nitro 製品で使用される他社製の IPMI、iLO かつ iDRAC のコンポーネントで発見されました。この脆弱性をつくことで、アプライアンスが信頼できないネットワークに接続されている場合、リモートからの操作が可能になります。本情報は、対象製品、コンポーネント製造元からの対応方法、認証していないリモートからの操作リスクを軽減するための推奨ステップを提供します。

CVE-2013-4782  (CVSS Base Score = 10.0)
SuperMicro BMCでは、リモートからの攻撃者が認証を回避し、cipher suite 0 (あるいはcipher zero)と任意のパスワードを使用して任意のIPMIコマンドを実行することができます。
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-4782

対象製品:

マカフィーでは、複数の McAfee SIEM / Nitro 製品にリスクがあることを確認しました。本情報は、アプライアンスの脆弱性を緩和するための情報として作成されています。

  • デフォルト設定は、IPMI、 BMC または iDRACのアプライアンス製品出荷時の設定 (有効または無効) です。
    例外: お客様が導入後設定を変更した場合は異なる場合があります。
ハードウェア製品 デフォルト
設定
CVE # Risk & Exposure 脆弱性
(あり/なし)
McAfee Event Receiver - 1225 (In HA Mode) HA有効 CVE-2013-4782 あり
McAfee Event Receiver - 2230 (In HA Mode) HA有効 CVE-2013-4782 あり
McAfee Event Receiver - 2250 (In HA Mode) HA有効 CVE-2013-4782 あり
McAfee Event Receiver - 4245 (In HA Mode) HA有効 CVE-2013-4782 あり
McAfee Event Receiver - 4500 (In HA Mode) HA有効 CVE-2013-4782 あり
McAfee Event Receiver - 2600 (In HA Mode) HA有効 CVE-2013-4782 あり
McAfee Event Receiver - 3450 (In HA Mode) HA有効 CVE-2013-4782 あり
McAfee Event Receiver - 4600 (In HA Mode) HA有効 CVE-2013-4782 あり
McAfee Advanced Correlation Engine - 2260 HA 無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Advanced Correlation Engine - 2600 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Advanced Correlation Engine - 3225 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Advanced Correlation Engine - 3450 HA無効 CVE-2013-4782  なし
(デフォルト設定)
McAfee Application Data Monitor - 1250 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Application Data Monitor - 3450 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Database Monitor - DSM-2600 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Database Monitor - DSM-3450 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Database Monitor - DSM-4600 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Event Receiver - 1250 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Log Manager - 4600 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Log Manager - 5600 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Log Manager - 6000 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Log Manager Receiver - 2600 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Log Manager Receiver - 3450 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Log Manager Receiver - 4600 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Log Manager Receiver - 5600 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Log Manager Receiver - 6000 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Security Manager - 5600 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Security Manager - 6000 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Security Manager - X4 HA無効 CVE-2013-4782 なし
(デフォルト設定)
McAfee Enterprise Security Manager - X6 HA無効 CVE-2013-4782 なし
(デフォルト設定)
Nitro IPS - 1250 HA無効 CVE-2013-4782 なし
(デフォルト設定)
Nitro IPS - 2600-4BTX HA無効 CVE-2013-4782 なし
(デフォルト設定)
Nitro IPS - 2600-8BTX HA無効 CVE-2013-4782 なし
(デフォルト設定)
Nitro IPS - 2600-4BSX HA無効 CVE-2013-4782 なし
(デフォルト設定)
Nitro IPS - 3450-4BTX HA無効 CVE-2013-4782 なし
(デフォルト設定)
Nitro IPS - 3450-8BTX HA無効 CVE-2013-4782 なし
(デフォルト設定)
Nitro IPS - 3450-2BSX HA無効 CVE-2013-4782 なし
(デフォルト設定)
Nitro IPS - 3450-4BSX HA無効 CVE-2013-4782 なし
(デフォルト設定)

注意: 下記のリストは、アプライアンスに脆弱性があるか判断できる状態を示しています。
iLO カードは2つの状態に分けられます。

  • iLO と IPMI が無効な場合、脆弱性はありません。
  • iLO と IPMI が有効な場合、脆弱性の対象となります。

iDARC カードは4つの状態に分けられます。

  • iDRAC 有効/IPMI 有効 の場合、脆弱性の対象となります。
  • iDRAC 有効/IPMI 無効 の場合、脆弱性の対象となります。(Web management はデフォルトパスワードを利用している場合脆弱性の対象となります。)
  • iDRAC 無効/IPMI 有効 の場合、脆弱性はありません。
  • iDRAC 無効/IPMI 無効 の場合、脆弱性はありません。

修正

緩和策:

重要: マカフィーは、各コンポーネント製造元 (Intel®、Dell、HP、IPMI、BMC または iDRAC) の推奨手順に従い、これらの機能を設定することを推奨します。

本情報対象となるアプライアンスを使用している場合はどのようにすればよいですか?

アプライアンスの IPMI、BMC と iDRAC の接続を確認し、それらが内部の管理ネットワークのみに接続されていることを確認します。Firewall や認証アクセス用のリモート管理ポートの接続を制限するなどし、サブネットまたは VLAN を切り離します。

ご利用のアプライアンスが、 IPMI、BMC と iDRAC の接続をサポートしている環境でも、インターネットのような信頼できないネットワークに接続せずに、内部の管理されたネットワークからのみアクセスを制限している場合、緩和策は必要ありません。

ご利用のアプライアンスが、 IPMI、BMC と iDRAC の接続をサポートしている環境でインターネットのような信頼できないネットワークに接続されている場合、マカフィーは認証されていないリモートからのアクセスリスクを軽減するため推奨される緩和策の手順を実施することを強く推奨します。

ご利用のアプライアンスが対象かどうか不明な場合はどのようにすればよいですか?

アプライアンスがインターネットからのアクセスが有効に設定されているか不明な場合、マカフィーは Vulnerability Manager のようなネットワークスキャナを使用して IPMI が使用する UDP 623 ポートが公共のネットワークからアクセス可能か確認することを強く推奨します。

推奨の緩和策手順:

以下のアプライアンスをご利用の場合:

  • McAfee Event Receiver - 1225 Appliances
  • McAfee Event Receiver - 2230 Appliances
  • McAfee Event Receiver - 2250 Appliances
  • McAfee Event Receiver - 4245 Appliances
  • McAfee Event Receiver - 4500 Appliances
  • McAfee Event Receiver - 2600 Appliances
  • McAfee Event Receiver - 3450 Appliances
  • McAfee Event Receiver - 4600 Appliances

High-availability 機能を無効にする手順:

  1. ESMIにログインし、System Navigation Tree上の Receiver-HA を選択します。
  2. Actions ツールバーの Properties アイコンをクリックし、Receiver Properties を表示します。

    注意: Primary と Secondly 間の通信の設定をしていない場合、選択したノードのReceiver デバイスのみ表示されます。

  3. メニュー上のReceiver Configuration をクリックします。
  4. Interfaceをクリックします。Network Interface Settingsダイアログを表示します。

    注意: Receiver に3つ以上の NIC がある場合は、HA Receiver タブが見え、2つ以上のAdditional Interfaces フィールドがあります。

  5. HA Receiver タブをクリックします。
  6. Setup High Availability を選択します。
  7. OK をクリックします。High-availability が無効になります。

以下のアプライアンスをご利用の場合:

  • McAfee Event Receiver - 1225 Appliances
  • McAfee Event Receiver - 2230 Appliances
  • McAfee Event Receiver - 2250 Appliances
  • McAfee Event Receiver - 4245 Appliances
  • McAfee Event Receiver - 4500 Appliances
  • McAfee Event Receiver - 2600 Appliances
  • McAfee Event Receiver - 3450 Appliances
  • McAfee Event Receiver - 4600 Appliances
  1. システムのブート時に、Intel BIOS Setup に入るため F2 キーを押します。 SuperMicro デバイスは DEL キーを押します。
  2. BIOS セット ユーティリティ の Server ManagementSuperMicro Advanced Settings に進みます。
  3. BMC LAN access を無効にするために、Baseboard LAN Intel RMM3LAN 下でで以下を実行します。
    • IP sourceStatic に変更
    • IP address, Subnet mask Gateway IP0.0.0.0 へ変更
  4. LANアクセスが無効にできない場合、信頼できるクライアントだけが、BMC/RMM3 にアクセスできるか確認します。
  5. ESC を押すか、現在のメニューをキャンセルし、F10 キーを押して変更を保存します。
  6. デバイスを再起動します。

回避策

 

確認

確認:

この脆弱性は US-CERT のVulnerability Bulletin SB13-196 により最初に公開されました。

サポート

 

よくある質問(FAQ)

よくある質問:

これらの脆弱性の対象となる製品は?
対象製品のリストを参照してください。

CVSSとは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

使用されるCVSSスコアリングメトリクスは何ですか?

CVE-2013-4782

 Base Score 10
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 9.0
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Workaround
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4782&vector=(AV:N/AC:L/Au:N/C:C/I:C/A:C)&version=2   
        
マカフィーは、問題を解決するために何をしましたか?
マカフィーはハードウェアの製造元からの意見を元に、CVE の問題を解決するための製造元の推奨方針に従うことにしました。

この問題を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。マカフィーはソフトウェアの脆弱性修正とレポートに対する開発ガイドラインとベストプラクティスの専任する、Organization for Internet Safety (OIS) の一員です。

マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、パッチ、Hotfix を合わせてのみ発表します。

リソース

新しいベータ ソフトウェアをダウンロードあるいはベータ版の最新情報を読むには、次のサイトを参照してください: http://www.mcafee.com/us/downloads/beta-programs/index.aspx
 
マカフィー製品のベータ版のフィードバックを提出するには、mcafee_beta@mcafee.com 宛にメール送信してください。
 
連絡先情報については、次のサイトを参照してください: http://www.mcafee.com/uk/about/contact-us.aspx
 
著作権、商標の帰属、ライセンス情報については、次のサイトを参照してください: http://us.mcafee.com/root/aboutUs.asp?id=copyright
 
この製品を保護する特許に関しては、製品ドキュメントを参照してください。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.