概要
InterScan Messaging Securityシリーズにおいて、管理コンソールに関する複数の脆弱性が確認されています。詳細は以下の通りです。
以降、製品名は以下の略称を使用いたします。
InterScan Messaging Security Virtual Appliance:IMSVA
InterScan Messaging Security Suite:InterScan MSS
詳細
脆弱性について
以下6件の脆弱性が確認されています。現在、これらの脆弱性を悪用した事例は確認されておりません。
攻撃者がこれらの脆弱性を利用するには、InterScan MSS/IMSVAサーバのホスト名/IPアドレスの情報を入手し、InterScan MSS/IMSVAサーバにアクセスできる必要があります。
外部から直接攻撃を受けるということではなく、内部に侵入された場合にこれらの脆弱性を利用されるリスクがございます。
| 脆弱性 | 影響のある製品 | バージョン |
CVSS 3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2020-27016
| IMSVA InterScan MSS Linux版 | 9.1 9.1 | 7.5 | 高 |
|
CVE-2020-27017
| IMSVA InterScan MSS Linux版 | 9.1 9.1 | 5.7 | 中 |
|
CVE-2020-27018
| IMSVA | 9.1 | 2.0 | 低 |
|
CVE-2020-27019
| IMSVA InterScan MSS Linux版 | 9.1 9.1 | 4.8 | 中 |
| CVE-2020-27693 |
IMSVA | 9.1 9.1 7.5 | 3.1 | 低 |
| CVE-2020-27694 | IMSVA InterScan MSS Linux版 InterScan MSS Windows版 | 9.1 9.1 7.5 | 4.6 | 中 |
脆弱性の詳細
1.CVE-2020-27016
管理コンソールにクロスサイトリクエストフォージェリの脆弱性が確認されています。攻撃者は、本脆弱性を利用することで、ポリシールール(メールフィルタリングルール)を不正に変更することが可能となります。
攻撃者が偽装サイト等を用意し、「管理コンソールにログイン済みの管理者アカウントが"当該脆弱性を突いた不正なリクエスト"を管理コンソールに送信する」よう誘導することで、攻撃が成立してしまいます。
また、攻撃者が「管理者アカウントのログインパスワードの入手」または「管理者アカウントのログインセッションの奪取」している場合は、より容易に脆弱性を利用される可能性があります。
影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IMSVA 9.1 | あり | |
| InterScan MSS 9.1 Linux版 | あり | |
| InterScan MSS 7.5 Windows版 | なし | 本脆弱性を含むモジュールを使用しておりません。 |
2.CVE-2020-27017
管理コンソールにXML External Entity Processing(XXE攻撃)の脆弱性が確認されています。攻撃者は、本脆弱性を利用することで、特定のPOSTメソッドを介してIMSVAのローカルファイルを閲覧することが可能となります。
ただし、本脆弱性の利用には、「管理者アカウントのログインパスワードの入手」または「管理者アカウントのログインセッションの奪取」が必要になります。
影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IMSVA 9.1 | あり | |
| InterScan MSS 9.1 Linux版 | あり | |
| InterScan MSS 7.5 Windows版 | なし | 本脆弱性を含むモジュールを使用しておりません。 |
3.CVE-2020-27018
管理コンソールにサーバサイドリクエストフォージェリの脆弱性が確認されています。攻撃者は、本脆弱性を利用することで、特定のPOSTメソッドを介し「IMSVAの経由しての内部の他サーバへのアクセス」が可能となります。
ただし、本脆弱性の利用には、「管理者アカウントのログインパスワードの入手」または「管理者アカウントのログインセッションの奪取」が必要になります。
影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IMSVA 9.1 | あり | |
| InterScan MSS 9.1 Linux版 | なし | 本脆弱性に該当するリクエストを許可しておりません。 |
| InterScan MSS 7.5 Windows版 | なし | 本脆弱性を含むモジュールを使用しておりません。 |
4.CVE-2020-27019
管理コンソールで利用されている特定モジュールの内部ファイルに、管理コンソールへのログイン無しでアクセスできてしまう脆弱性があります。影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IMSVA 9.1 | あり | |
| InterScan MSS 9.1 Linux版 | あり | |
| InterScan MSS 7.5 Windows版 | なし | 本脆弱性を含むモジュールを使用しておりません。 |
5.CVE-2020-27693
管理コンソールの[管理] > [管理者アカウント]にて生成できるアカウントについて、当該アカウントのパスワード情報を保持する際に使用しているハッシュアルゴリズム方式が古くなっています。パスワードハッシュ情報が漏えいした際に、解読されてしまうリスクが高くなります。
影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IMSVA 9.1 | あり | |
| InterScan MSS 9.1 Linux版 | あり | |
| InterScan MSS 7.5 Windows版 | あり |
6.CVE-2020-27694
管理コンソール、エンドユーザメール隔離コンソールで使用している特定のサードパーティモジュールのバージョンが古くなっています。当該サードパーティモジュールの過去の脆弱性を利用される可能性があります。
影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IMSVA 9.1 | あり | |
| InterScan MSS 9.1 Linux版 | あり | |
| InterScan MSS 7.5 Windows版 | あり |
対処策について
リスク低減策として、ネットワークファイアウォールの機能等でInterScan MSS/IMSVAサーバにアクセス可能なクライアントを制限するようお願いいたします。また、恒久対策として、これらの脆弱性を修正するCritical Patchを順次ご用意しております。
リスク低減策に関する補足
管理コンソールのTCPポート番号はデフォルトで8445番となります。また、エンドユーザメール隔離コンソールのTCPポート番号はデフォルトで8446番と8447番となります。
そのため、これらのポートに対するアクセス制限をご検討ください。
Critical Patch 提供状況
| 製品名 | リリース予定 | 備考 |
|---|---|---|
| InterScan Messaging Security Virtual Appliance 9.1 | 2020年10月19日リリース済み | Patch 3 Critical Patch 2026が修正Critical Patchとなります。 上述の6件全ての脆弱性を修正しております。 こちらからダウンロード可能です。 |
| InterScan Messaging Security Suite 9.1 Linux版 | 2021年1月14日リリース済み |
[2021/1/14更新] |
| InterScan Messaging Security Suite 7.5 Windows版 | - |
修正物件のリリース予定はございません。 |
