CVE-2019-11707、CVE-2019-11708： Mozilla Firefoxの複数のゼロデイ脆弱性を突いた攻撃が実際に確認される

セキュリティ研究者らは、Mozilla Firefoxにおける2件のゼロデイ脆弱性を発見しました。これらの脆弱性は標的型攻撃に使用されるおそれがあります。

編集者注：このブログは6月20日に更新され、CVE-2019-11707と組み合わせて悪用される2件目の脆弱性に関する追加情報、およびMozillaからのセキュリティ更新についての情報が含まれています。

背景

6月18日と6月20日に、Mozilla Foundationは、実際に標的型攻撃で使用されているMozilla Firefoxの2件のゼロデイ脆弱性に対処するためのセキュリティアドバイザリ[1、2]を公開しました

分析

最初のセキュリティアドバイザリによるとCVE-2019-11707はMozilla Firefoxの型混乱の脆弱性で、Array.popの問題によりJavaScriptオブジェクトのコードを処理する際に、悪用可能なクラッシュを引き起こす可能性があります。2件目、CVE-2019-11708はOpen Inter-process communication（IPC）プロンプトのサンドボックスエスケープの脆弱性で、パラメータの検証が十分でないため発生します。攻撃者はこの脆弱性を悪用し、 サンドボックスで保護されていない親プロセスは、子プロセスと親プロセスの間で特別に細工されたPrompt：Open IPCメッセージを使用して子プロセスから渡されたWebコンテンツを開くことができます。 CVE-2019-11708とCVE-2019-11707を組み合わせることにより、任意のコードが実行される可能性があります。

この脆弱性は、Google Project ZeroのSamuel Groß氏とCoinbase SecurityチームによりMozillaに報告されました。

Samuel Groß氏は、6月19日に投稿されたツイートの脆弱性に関する追加情報を提供しています。Groß氏は、実際に行われている攻撃についての詳細は明らかではなく、このバグは4月に彼により報告されていると述べています。彼は、リモートコード実行（RCE）は可能であるが、「別のサンドボックスエスケープが必要である」と述べています。最後に、この脆弱性はそれ自体で「攻撃者の目的によってはユニバーサルクロスサイトスクリプティング（UXSS）にも悪用される可能性がある」と述べています。

The bug can be exploited for RCE but would then need a separate sandbox escape. However, most likely it can also be exploited for UXSS which might be enough depending on the attacker's goals. Looking forward to more details from @mozsec and @coinbase

— Samuel Groß (@5aelo) June 19, 2019

Coinbaseの最高情報セキュリティ責任者（CISO）であるPhilip Martin氏は、6月20日に一連のツイートを公開し、標的型攻撃に関するさらなる状況を説明しました。CVE-2019-11707は別のFirefoxゼロデイサンドボックスエスケープ脆弱性（CVE-2019-11708）と組み合わせて悪用され、Coinbaseの従業員が標的にされている、と彼は述べています。Martinは、Coinbaseがこの攻撃キャンペーンの対象となる唯一の「暗号組織」ではなく、彼のチームは他の組織を支援するためにセキュリティ侵害インジケーター（IOC）を提供しています。 

1/ A little more context on the Firefox 0-day reports. On Monday, Coinbase detected & blocked an attempt by an attacker to leverage the reported 0-day, along with a separate 0-day firefox sandbox escape, to target Coinbase employees.

— Philip Martin (@SecurityGuyPhil) June 19, 2019

さらに、Digita Securityの創設者兼最高研究責任者（CRO）のPatrick Wardle氏は、Philip Martin氏がツイートで参照した悪意のあるファイルの1つと一致する、macOSマルウェアサンプルを分析するブログを公開しました。

ソリューション

Mozillaは6月18日にCVE-2019-11707に対応するためにFirefox 67.0.3とFirefox 延長サポート版（ESR）60.7.1をリリースし、6月20日にCVE-2019-11708に対応するためにFirefox 67.0.4とFirefox ESR 60.7.2をリリースしました。ユーザーには早急にFirefoxの最新バージョンにアップグレードすることをお勧めします。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。

詳細情報

• Mozilla Foundationセキュリティアドバイザリ 2019-18
• Mozilla Foundationセキュリティアドバイザリ 2019-19

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。Tenable.io60日間無料トライルを入手する。