概要
InterScan Web Securityシリーズにおいて、管理コンソールに関する複数の脆弱性が確認されています。詳細は以下の通りです。
以降、製品名は以下の略称を使用いたします。
InterScan Web Security Virtual Appliance:IWSVA
InterScan Web Security Suite:IWSS
以降、製品名は以下の略称を使用いたします。
InterScan Web Security Virtual Appliance:IWSVA
InterScan Web Security Suite:IWSS
詳細
脆弱性について
以下4件の脆弱性が確認されています。現在、これらの脆弱性を悪用した事例は確認されておりません。
攻撃者がこれらの脆弱性を利用するには、IWSVA/IWSSサーバのホスト名/IPアドレスの情報を入手し、IWSS/IWSVAサーバにアクセスできる必要があります。
外部から直接攻撃を受けるということではなく、内部に侵入された場合にこれらの脆弱性を利用されるリスクがございます。
IWSS 5.6 Windows版については、これらの脆弱性の影響はございません。
| 脆弱性 | 影響のある製品 | バージョン |
CVSS 3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2020-28578
| IWSVA IWSS Linux版 | 6.5 6.5 | 7.3 | 高 |
|
CVE-2020-28579
| IWSVA IWSS Linux版 | 6.5 6.5 | 6.3 | 中 |
|
CVE-2020-28580
| IWSVA IWSS Linux版 | 6.5 6.5 | 4.7 | 中 |
|
CVE-2020-28581
| IWSVA IWSS Linux版 | 6.5 6.5 | 4.7 | 中 |
脆弱性の詳細
1.CVE-2020-28578
管理画面用サービスにバッファオーバフローの脆弱性があります。攻撃者は、本脆弱性を利用することで、管理画面へのログインを介さずに、IWSVA/IWSSサーバ上で任意のコードを実行できます。
影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IWSVA 6.5 | あり | |
| IWSS 6.5 Linux版 | あり | |
| IWSS 5.6 Windows版 | なし | 本脆弱性に該当するリクエストに対応しておりません。 |
2.CVE-2020-28579
管理画面用サービスの"レポート専用"権限以上のアカウントで操作可能な処理にバッファオーバフローの脆弱性があります。攻撃者は、本脆弱性を利用することで、IWSVA/IWSSサーバ上で任意のコードを実行できます。
ただし、本脆弱性の利用には、「"レポート専用"権限以上のアカウントのログインパスワードの入手」または「"レポート専用"権限以上のアカウントのログインセッションの奪取」が必要になります。
影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IWSVA 6.5 | あり | |
| IWSS 6.5 Linux版 | あり | |
| IWSS 5.6 Windows版 | なし | 本脆弱性に該当するリクエストに対応しておりません。 |
3.CVE-2020-28580
管理画面用サービスの"管理者"権限のアカウントで操作可能な処理にコマンドインジェクションの脆弱性があります。攻撃者は、本脆弱性を利用することで、IWSVA/IWSSサーバ上で任意のOSのコマンドを実行できます。
ただし、本脆弱性の利用には、「"管理者"権限のアカウントのログインパスワードの入手」または「"管理者"権限のアカウントのログインセッションの奪取」が必要になります。
影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IWSVA 6.5 | あり | |
| IWSS 6.5 Linux版 | あり | デフォルトでは当該処理を許可しないため、影響ありません。 ただし、管理画面用サービスの設定を意図的に変更することで影響を受けます。 当該変更方法のアナウンス等は弊社では行っておりませんが、 厳密には影響を受けるため「影響あり」としています。 |
| IWSS 5.6 Windows版 | なし | 本脆弱性に該当するリクエストに対応しておりません。 |
4.CVE-2020-28581
管理画面用サービスの"管理者"権限のアカウントで操作可能な処理にコマンドインジェクションの脆弱性があります。攻撃者は、本脆弱性を利用することで、IWSVA/IWSSサーバ上で任意のOSのコマンドを実行できます。
ただし、本脆弱性の利用には、「"管理者"権限のアカウントのログインパスワードの入手」または「"管理者"権限のアカウントのログインセッションの奪取」が必要になります。
影響のある製品は以下の通りです。
| 対象製品 | 影響有無 | 備考 |
|---|---|---|
| IWSVA 6.5 | あり | |
| IWSS 6.5 Linux版 | あり | デフォルトでは当該処理を許可しないため、影響ありません。 ただし、管理画面用サービスの設定を意図的に変更することで影響を受けます。 当該変更方法のアナウンス等は弊社では行っておりませんが、 厳密には影響を受けるため「影響あり」としています。 |
| IWSS 5.6 Windows版 | なし | 本脆弱性に該当するリクエストに対応しておりません。 |
対処策について
リスク低減策として、ネットワークファイアウォールの機能等でIWSVA/IWSSサーバにアクセス可能なクライアントを制限するようお願いいたします。また、恒久対策として、これらの脆弱性を修正するHotfixをご提供しております。
リスク低減策に関する補足
管理画面のTCPポート番号はデフォルトで8443番となります。当該ポートに対するアクセス制限をご検討ください。
なお、IWSVAの場合は、管理画面の[管理] > [管理コンソール] > [アクセス管理の設定]から、管理画面にアクセス可能なクライアントIPをIWSVA側で制限可能です。
IWSS Linux版をご利用の場合は、Linux OSのファイアウォール機能等をご利用ください。
Hotfix 提供状況
| 製品名 | リリース日 | 備考 |
|---|---|---|
| InterScan Web Security Virtual Appliance 6.5 | 2020年12月15日リリース済み | Service Pack 2 Patch 4 Hotfix 1766が対象のHotfixとなります。 当該Hotfixをご希望の場合は、サポート窓口までお問合せください。 |
| InterScan Web Security Suite 6.5 Linux版 | 2020年12月15日リリース済み |
Patch 2 Hotfix 1421が対象のHotfixとなります。 |
