概要
脆弱性について
以下5件の脆弱性が確認されています。現在、これらの脆弱性を悪用した事例は確認されておりません。
攻撃者がこれらの脆弱性を利用するには、IWSVA/IWSSサーバのホスト名/IPアドレスの情報を入手し、IWSS/IWSVAサーバにアクセスできる必要があります。
外部から直接攻撃を受けるということではなく、内部に侵入された場合にこれらの脆弱性を利用されるリスクがございます。
| 脆弱性 | 影響のある製品 | バージョン |
CVSS 3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2020-8461
| IWSVA IWSS Linux版 | 6.5 6.5 | 7.1 | 高 |
|
CVE-2020-8462,
CVE-2020-27010 | IWSVA IWSS Linux版 | 6.5 6.5 | 3.3 | 低 |
| CVE-2020-8463 | IWSVA IWSS Linux版 | 6.5 6.5 | 8.2 | 高 |
|
CVE-2020-8464
| IWSVA IWSS Linux版 | 6.5 6.5 | 8.2 | 高 |
|
CVE-2020-8465
| IWSVA IWSS Linux版 | 6.5 6.5 | 8.2 | 高 |
脆弱性の詳細
1.CVE-2020-8461
管理画面が持つクロスサイトリクエストフォージェリ保護機能に脆弱性があります。攻撃者は、本脆弱性を利用することで、当該保護機能を突破できてしまいます。
2.CVE-2020-8462,CVE-2020-27010
管理画面にクロスサイトスクリプティングの脆弱性があります。攻撃者は、本脆弱性を利用することで、管理画面を不正に操作することが可能になります。
3.CVE-2020-8463
管理画面に認証バイパスの脆弱性があります。攻撃者は、本脆弱性を利用することで、管理画面へのログインをスキップし、管理画面のコンテンツへのアクセスが可能となります。
4.CVE-2020-8464
管理画面に認証バイパス/サーバサイドリクエストフォージェリの脆弱性があります。攻撃者は、本脆弱性を利用することで、管理画面へのログインをスキップし、管理者権限での管理画面へのアクセスが可能となります。
5.CVE-2020-8465
管理画面のPatch、Hotfix適用機能に脆弱性があります。攻撃者は、本脆弱性を利用することで、任意のコードをIWSxサーバ上でroot権限で実行できてしまいます。
対処策について
リスク低減策として、ネットワークファイアウォールの機能等でIWSVA/IWSSサーバにアクセス可能なクライアントを制限するようお願いいたします。また、恒久対策として、これらの脆弱性を修正するCritical Patchを準備しております。
リスク低減策に関する補足
管理画面のTCPポート番号はデフォルトで8443番となります。当該ポートに対するアクセス制限をご検討ください。
なお、IWSVAの場合は、管理画面の[管理] > [管理コンソール] > [アクセス管理の設定]から、管理画面にアクセス可能なクライアントIPをIWSVA側で制限可能です。
IWSS Linux版をご利用の場合は、Linux OSのファイアウォール機能等をご利用ください。
Critical Patch 提供状況
| 製品名 | リリース日 | 備考 |
|---|---|---|
| InterScan Web Security Virtual Appliance 6.5 | 2021年3月18日リリース済み |
Service Pack 2 Patch 4 Critical Patch 1772が対象のCritical Patchとなります。 |
| InterScan Web Security Suite 6.5 Linux版 | 2021年5月19日リリース済み |
Patch 2 Critical Patch 1427が対象のCritical Patchとなります。 |
詳細
