トレンドマイクロ、Apex Centralソフトウェアの重大な欠陥を修正

セキュリティ企業のトレンドマイクロは、脆弱性管理プラットフォームのTenableが複数のセキュリティ上の欠陥を特定したことを受け、自社のApex Centralソフトウェア管理ツールに対するパッチの提供を余儀なくされた。

これらのバグは、ビルド7190より前のApex Central（オンプレミス）の全バージョンに影響する。

セキュリティ情報の中で、トレンドマイクロは深刻度9.8と評価された最も重大な欠陥について、「Trend Micro Apex CentralにおけるLoadLibraryEXの脆弱性により、認証されていないリモート攻撃者が攻撃者の制御下にあるDLLを主要な実行ファイルに読み込ませることができ、影響を受けるインストール環境でSYSTEMコンテキストの下、攻撃者が提供したコードの実行につながる可能性がある」と述べた。

Info-Tech Research Groupのテクニカル・カウンセラーであるErik Avakian氏は、なぜこれが問題なのかを説明した。「管理サーバーには重大な欠陥があり、そのバックグラウンドサービスの一つが特定の種類のネットワークメッセージを処理する方法に問題があるため、ネットワーク上の攻撃者がログインせずに自分のコードを実行できてしまいます。そのサービスはネットワーク上の誰からのメッセージでも受け付け、その後、標準のWindows関数を使ってWindows DLLを無条件に読み込むことができます。問題は、そのDLLがどこから来たのかをソフトウェアが適切に検証していない点です。」

この場合、影響を受けるソフトウェアは攻撃者のコードを、おそらく最高レベルの権限で実行してしまうと同氏は述べた。したがって、こうした状況では、攻撃者は例えばリモートネットワーク上など、自分が制御するDLLをApex Centralに指定できる。それにより、企業のソフトウェア環境のより深い部分へ侵入が進む可能性がある。「要するに、このサーバーが外部に露出していて未パッチのままであれば、リモートから乗っ取られ得ます」とAvakian氏は述べた。

この攻撃が特に陰険なのは、攻撃者がサーバーにログインしたり、ファイルをコピーしたりする必要がない点だと同氏は言う。「攻撃者は自分が管理するどこかに悪意あるDLLをホストし、Apex Centralにそれを読み込むよう指示するだけでよいのです。欠陥のため、Apex Centralは外部にアクセスしてDLLを自ら読み込み、誰が要求したのかを確認しないまま、事実上、攻撃者のコードを取り込み実行してしまいます。」

同氏は、SYSTEMコンテキストが重要である理由として、脆弱なサービスが最大権限で動作していることを意味するからだと付け加えた。そのため、ファイルの改ざん、ソフトウェアのインストールや無効化、ユーザーアカウントの作成、あるいはサーバーを踏み台にして他のシステムを攻撃するなど、攻撃者が幅広い活動を行えるようになる。

この脆弱性は、最近のソフトウェア変更の結果であるようには見えないとAvakian氏は述べた。「公開されている資料を見る限り、この欠陥は以前から存在していた可能性があります。勧告は修正済みバージョンより下のすべてのビルドに影響しており、最近導入されたことを示す兆候はありません。表面的には、長年の問題が最近になって発見され、対処されたように見えます。」

記事の公開時点までに、トレンドマイクロとTenableのいずれもコメント要請に応じなかった。

この重大な脆弱性に加え、トレンドマイクロの情報では、いずれも悪用に認証を必要としない、他の高深刻度の問題が2件あることも強調されている。1つ目は、Trend Micro Apex Centralにおけるメッセージ未チェックのNULL戻り値の脆弱性で、リモート攻撃者が影響を受ける環境でサービス拒否状態を引き起こす可能性がある。2つ目は、Trend Micro Apex Centralにおけるメッセージの境界外読み取りの脆弱性で、これもリモート攻撃者がサービス拒否状態を引き起こす可能性がある。これら3つの欠陥はいずれもビルド7190で修正されている。

トレンドマイクロの勧告では、こうした脆弱性を悪用するには、一般的に攻撃者が脆弱なマシンへアクセスできる必要がある点も指摘している。

しかし同社は、ポリシーと境界セキュリティが最新であることを確認するため、重要システムへのリモートアクセスを見直すよう顧客に助言した。また、できるだけ早く最新ビルドへ更新するよう警告した。