Tenableリサーチアドバイザリ：アドバンテックのWebAccessリモートコマンド実行の脆弱性、依然として悪用可能

Tenableの研究者、Chris LyneはアドバンテックのWebAccessのバージョン8.3、8.3.1、および8.3.2がリモートコマンド実行CVE-2017-16720に対して依然として脆弱であることを突き止めました。元は、2018年1月にZDIにより公開されたもので、パブリックエクスプロイトにさらされています。

背景

Tenable ResearchのChris Lyneは、パッチリリース後数ヶ月経っているにも関わらず、パブリックエクスプロイトに対して、アドバンテックのWebAccessが依然として保護されていないことを突き止めました。脆弱なWebAccessインスタンスは、未承認のリモートコード実行(RCE)攻撃(CVE-2017-16720)に対して無防備の状態となっています。WebAccessバージョン8.3、8.3.1および8.3.2が対象です。

2018年1月4日、ICS-CERTがICSA-18-004-02Aをリリースし、アドバンテックのWebAccessにおける複数の脆弱性に関する報告の詳細を発表しました。脆弱性のうちの一つであるCVE-2017-16720（Zero Day Initiative (ZDI)によっても公開）は、未認証のリモート攻撃者が任意のシステムコマンドを実行できるようにするものです。

ICS-CERTアドバイザリーの緩和部門は、「アドバンテックは報告された脆弱性に対処するため、WebAccessバージョン8.3をリリースしました」と報告しています。ICS-CERTアドバイザリーのリリースから二ヵ月後の3月、CVE-2017-16720を利用したパブリックエクスプロイトがExploit Databaseに公開されました。

脆弱性の詳細

この脆弱性により、TCPポート4592を経由したリモートプロシージャコール(RPC)プロトコルを介して、リモートコマンド実行が可能になります。悪意あるDCERPCを利用して、webvrpcs.exeサービスがホストにコマンドライン指示を渡します。

webvrpcs.exeサービスは管理者アクセス権限で実行されます。これは、攻撃者が該当の権限レベルにある資産をコントロールできることを意味します。

悪用

この脆弱性に対する、一般公開されている概念実証(PoC)があります。このPoCをWebAccessターゲットに対して利用するには、少しのリサーチが必要になります。

この脆弱性は以前にパッチされていなかったため、パブリックに悪用されるのに十分な時間があり、WebAccessを実行していた最新の資産が悪用された可能性があります。

ベンダー応答

ICS-CERTによると、アドバンテックは9月に修正版のリリースを予定しているとのことです。今後、さらなる詳細と修正に関する情報が分かり次第、本セクションにてご報告いたします。

攻撃されたシステムの特定

Tenableでは、脆弱な資産を特定できる以下のプラグインをご用意しています。

詳しくはこちらから

• Tenable Techblog on Mediumにアクセスして、研究者Chris Lyneがいかにしてこの脆弱性を発見するに至ったのか、そのストーリーの詳細をお読みください。
• Tenableリサーチアドバイザリーページにアクセスして、Tenableの研究者とエンジニアのサポートを受けている専門チームにより発見されたサードパーティー製ソフトウェアのセキュリティ上の脆弱性に関する最新のニュースをお読みください。

現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。