Loading...

ナレッジセンター


マカフィーセキュリティ情報 - MVM アプライアンスで使用されるサードパーティ製品の重大な脆弱性について
セキュリティ情報 ID:  SB10050
最終更新:  2014/02/13
評価:


概要

このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の種類: [詳細] 項目参照
CVE 番号: 複数対象 (下記参照)
US CERT 番号: なし
重大度: 重大 (Critical)
CVSSスコア: 10.0
推奨する対策: [緩和策] 項目参照
セキュリティ情報の修正: なし
備考: なし
影響を受ける製品: [対象製品] 項目参照

説明

重大な脆弱性が、 MVM アプライアンス製品で使用される他社製の IPMI、 iDRAC のコンポーネントで発見されました。この脆弱性をつくことで、アプライアンスが信頼できないネットワークに接続されている場合、リモートからの操作が可能になります。本情報は、対象製品、コンポーネント製造元からの対応方法、認証していないリモートからの操作リスクを軽減するための推奨ステップを提供します。

CVE-2013-4786  (CVSS Base Score  = 7.8)
IPMI 2.0の仕様では、RMCP+ Authenticated Key-Exchange Protocol (RAKP)認証をサポートしています。これにより、リモートの攻撃者がパスワード・ハッシュを取得し、BMCのRAKPメッセージ2からのHMACを手に入れることでオフラインパスワード推測攻撃を行うことができます。
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-4786

CVE-2013-4785 (CVSS Base Score =10.0)
iDRAC 6 firmware 1.7およびその他のバージョンでは、リモートからの攻撃者がtesturls.html からアクセス可能な不特定のフォームへのリクエストを介して、任意のユーザ用の CLP インタフェースを変更されるなど不特定の影響を与える可能性があります。
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-4785

CVE-2013-4783  (CVSS Base Score = 10.0)
Dell iDRAC 6 BMCでは、リモートからの攻撃者が認証を回避し、cipher suite 0 (あるいはcipher zero)と任意のパスワードを使用して任意のIPMIコマンドを実行することができます。
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-4783

対象製品:

マカフィーでは、MVM アプライアンス製品にリスクがあることを確認しました。本情報は、アプライアンスの脆弱性を緩和するための情報として作成されています。

  • デフォルト設定は、IPMI、 iDRACのアプライアンス製品出荷時の設定 (有効または無効) です。
    例外: お客様が導入後設定を変更した場合は異なる場合があります。
      
    MVM Series Appliances
    ハードウエア製品 デフォルト設定 CVE # Risk & Exposure 脆弱性
    (あり / なし)
    MVM3100 IPMI 無効 CVE-2013-4786 Not by Default
    MVM3000
    IPMI 無効
    iDRAC 無効
    CVE-2013-4786
    CVE-2013-4785
    CVE-2013-4783
    Not by Default

注意: 下記のリストは、アプライアンスに脆弱性があるか判断できる状態を示しています。

iLO カードは2つの状態に分けられます。

  • iLO と IPMI が無効な場合、脆弱性はありません。
  • iLO と IPMI が有効な場合、脆弱性の対象となります。

iDARC カードは4つの状態に分けられます。

  • iDRAC 有効/IPMI 有効 の場合、脆弱性の対象となります。
  • iDRAC 有効/IPMI 無効 の場合、脆弱性の対象となります。(Web management はデフォルトパスワードを利用している場合脆弱性の対象となります。)
  • iDRAC 無効/IPMI 有効 の場合、脆弱性はありません。
  • iDRAC 無効/IPMI 無効 の場合、脆弱性はありません。

修正

重要: マカフィーは、各コンポーネント製造元 (Intel、Dell、HP、IPMI、BMC または iDRAC) の推奨手順に従い、これらの機能を設定することを推奨します。

本情報対象となるアプライアンスを使用している場合はどのようにすればよいですか?

アプライアンスの IPMI、iDRAC の接続を確認し、それらが内部の管理ネットワークのみに接続されていることを確認します。Firewall や認証アクセス用のリモート管理ポートの接続を制限するなどし、サブネットまたは VLAN を切り離します。

ご利用のアプライアンスが、 IPMI、iDRAC の接続をサポートしている環境でも、インターネットのような信頼できないネットワークに接続せずに、内部の管理されたネットワークからのみアクセスを制限している場合、緩和策は必要ありません。

ご利用のアプライアンスが、 IPMI、iDRAC の接続をサポートしている環境でインターネットのような信頼できないネットワークに接続されている場合、マカフィーは認証されていないリモートからのアクセスリスクを軽減するため推奨される緩和策の手順を実施することを強く推奨します。

ご利用のアプライアンスが対象かどうか不明な場合はどのようにすればよいですか?

アプライアンスがインターネットからのアクセスが有効に設定されているか不明な場合、マカフィーは Vulnerability Manager のようなネットワークスキャナを使用して IPMI が使用する UDP 623 ポートが公共のネットワークからアクセス可能か確認することを強く推奨します。

推奨の緩和策手順:

MVM3000 アプライアンスをご利用の場合

  1. システムのブート時に CTRL-E キーを押し、Remote Access Configuration Utility を起動します。
  2. IPMI Over LAN Off. に設定します。
  3. アドミニストレーターパスワードを設定します。
  4. ESC キーを押し Save Changes and Exit を選択します。
  5. 信頼できる端末からのみ、IPMI/iDRAC にアクセスできることを確認します。

MVM3100 アプライアンスをご利用の場合

  1. システムのブート時に F2 キーを押し、BIOS Setup に入ります。
  2. BIOS Setup Utility の Server ManagementBMC LAN Configuration に移ります。
  3. BMC LAN へのアクセスを無効にするため、Baseboard LANIntel RMM3LANにおいて以下を行います。
    • IP sourceStatic に設定します。
    • IP address, Subnet mask Gateway IP 0.0.0.0 に設定します。
  4. LAN へのアクセスを無効にできない場合、信頼できる端末からのみ、BMC/RMM3 にアクセスできることを確認します。

確認

この脆弱性は US-CERT のVulnerability Bulletin SB13-196 により最初に公開されました。

よくある質問(FAQ)

これらの脆弱性の対象となる製品は?
対象製品のリストを参照してください。

CVSSとは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

使用されるCVSSスコアリングメトリクスは何ですか?

CVE-2013-4786

 Base Score 7.8
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact None
 Availability impact None
 Temporal Score 7.0
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Workaround
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4786&vector=(AV:N/AC:L/Au:N/C:C/I:N/A:N)&version=2

CVE-2013-4785

 Base Score 10
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 9.0
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Workaround
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4785&vector=(AV:N/AC:L/Au:N/C:C/I:C/A:C)&version=2

CVE-2013-4783

 Base Score 10
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 9.0
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Workaround
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4784&vector=(AV:N/AC:L/Au:N/C:C/I:C/A:C)&version=2

マカフィーは、問題を解決するために何をしましたか?
マカフィーはハードウェアの製造元からの意見を元に、CVE の問題を解決するための製造元の推奨方針に従うことにしました。

この問題を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。マカフィーはソフトウェアの脆弱性修正とレポートに対する開発ガイドラインとベストプラクティスの専任する、Organization for Internet Safety (OIS) の一員です。

マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、パッチ、Hotfix を合わせてのみ発表します。

リソース

新しいベータ ソフトウェアをダウンロードあるいはベータ版の最新情報を読むには、次のサイトを参照してください: http://www.mcafee.com/us/downloads/beta-programs/index.aspx
 
マカフィー製品のベータ版のフィードバックを提出するには、mcafee_beta@mcafee.com 宛にメール送信してください。
 
連絡先情報については、次のサイトを参照してください: http://www.mcafee.com/uk/about/contact-us.aspx
 
著作権、商標の帰属、ライセンス情報については、次のサイトを参照してください: http://us.mcafee.com/root/aboutUs.asp?id=copyright
 
この製品を保護する特許に関しては、製品ドキュメントを参照してください。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.