Tenable ブログ
ブログ通知を受信するCVE-2019-11707、CVE-2019-11708: Mozilla Firefoxの複数のゼロデイ脆弱性を突いた攻撃が実際に確認される
セキュリティ研究者らは、Mozilla Firefoxにおける2件のゼロデイ脆弱性を発見しました。これらの脆弱性は標的型攻撃に使用されるおそれがあります。
編集者注:このブログは6月20日に更新され、CVE-2019-11707と組み合わせて悪用される2件目の脆弱性に関する追加情報、およびMozillaからのセキュリティ更新についての情報が含まれています。
背景
6月18日と6月20日に、Mozilla Foundationは、実際に標的型攻撃で使用されているMozilla Firefoxの2件のゼロデイ脆弱性に対処するためのセキュリティアドバイザリ[1、2]を公開しました
分析
最初のセキュリティアドバイザリによるとCVE-2019-11707はMozilla Firefoxの型混乱の脆弱性で、Array.popの問題によりJavaScriptオブジェクトのコードを処理する際に、悪用可能なクラッシュを引き起こす可能性があります。2件目、CVE-2019-11708はOpen Inter-process communication(IPC)プロンプトのサンドボックスエスケープの脆弱性で、パラメータの検証が十分でないため発生します。攻撃者はこの脆弱性を悪用し、 サンドボックスで保護されていない親プロセスは、子プロセスと親プロセスの間で特別に細工されたPrompt:Open IPCメッセージを使用して子プロセスから渡されたWebコンテンツを開くことができます。 CVE-2019-11708とCVE-2019-11707を組み合わせることにより、任意のコードが実行される可能性があります。
この脆弱性は、Google Project ZeroのSamuel Groß氏とCoinbase SecurityチームによりMozillaに報告されました。
Samuel Groß氏は、6月19日に投稿されたツイートの脆弱性に関する追加情報を提供しています。Groß氏は、実際に行われている攻撃についての詳細は明らかではなく、このバグは4月に彼により報告されていると述べています。彼は、リモートコード実行(RCE)は可能であるが、「別のサンドボックスエスケープが必要である」と述べています。最後に、この脆弱性はそれ自体で「攻撃者の目的によってはユニバーサルクロスサイトスクリプティング(UXSS)にも悪用される可能性がある」と述べています。
The bug can be exploited for RCE but would then need a separate sandbox escape. However, most likely it can also be exploited for UXSS which might be enough depending on the attacker's goals. Looking forward to more details from @mozsec and @coinbase
— Samuel Groß (@5aelo) June 19, 2019
Coinbaseの最高情報セキュリティ責任者(CISO)であるPhilip Martin氏は、6月20日に一連のツイートを公開し、標的型攻撃に関するさらなる状況を説明しました。CVE-2019-11707は別のFirefoxゼロデイサンドボックスエスケープ脆弱性(CVE-2019-11708)と組み合わせて悪用され、Coinbaseの従業員が標的にされている、と彼は述べています。Martinは、Coinbaseがこの攻撃キャンペーンの対象となる唯一の「暗号組織」ではなく、彼のチームは他の組織を支援するためにセキュリティ侵害インジケーター(IOC)を提供しています。
1/ A little more context on the Firefox 0-day reports. On Monday, Coinbase detected & blocked an attempt by an attacker to leverage the reported 0-day, along with a separate 0-day firefox sandbox escape, to target Coinbase employees.
— Philip Martin (@SecurityGuyPhil) June 19, 2019
さらに、Digita Securityの創設者兼最高研究責任者(CRO)のPatrick Wardle氏は、Philip Martin氏がツイートで参照した悪意のあるファイルの1つと一致する、macOSマルウェアサンプルを分析するブログを公開しました。
ソリューション
Mozillaは6月18日にCVE-2019-11707に対応するためにFirefox 67.0.3とFirefox 延長サポート版(ESR)60.7.1をリリースし、6月20日にCVE-2019-11708に対応するためにFirefox 67.0.4とFirefox ESR 60.7.2をリリースしました。ユーザーには早急にFirefoxの最新バージョンにアップグレードすることをお勧めします。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。Tenable.io60日間無料トライルを入手する。
関連記事
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning