McAfee Email Gateway、Email and Web Security、Ironmail アプライアンスで使用されるサードパーティ製品の重大な脆弱性について
製品 Email Gateway Version N/A
OS N/A 問題番号 MEG13080101
概要:
このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の種類: [詳細] 項目参照
CVE 番号: 複数対象 (下記参照)
US CERT 番号: なし
重大度: 重大 (Critical)
CVSSスコア: 10.0
推奨する対策: [緩和策] 項目参照
セキュリティ情報の修正: なし
備考: なし
影響を受ける製品: [対象製品] 項目参照
詳細:

重大な脆弱性が、Email Gateway、Email and Web Security または Ironmail 製品で使用される他社製の IPMI、iLO かつ iDRAC のコンポーネントで発見されました。この脆弱性をつくことで、アプライアンスが信頼できないネットワークに接続されている場合、リモートからの操作が可能になります。本情報は、対象製品、コンポーネント製造元からの対応方法、認証していないリモートからの操作リスクを軽減するための推奨ステップを提供します。

CVE-2013-4786  (CVSS Base Score  = 7.8)
IPMI 2.0の仕様では、RMCP+ Authenticated Key-Exchange Protocol (RAKP)認証をサポートしています。これにより、リモートの攻撃者がパスワード・ハッシュを取得し、BMCのRAKPメッセージ2からのHMACを手に入れることでオフラインパスワード推測攻撃を行うことができます。
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-4786

CVE-2013-4785 CVSS Base Score =10.0
iDRAC 6 firmware 1.7およびその他のバージョンでは、リモートからの攻撃者がtesturls.html からアクセス可能な不特定のフォームへのリクエストを介して、任意のユーザ用の CLP インタフェースを変更されるなど不特定の影響を与える可能性があります。
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-4785

CVE-2013-4784 CVSS Base Score =10.0
HP Integrated Lights-Out (iLO) BMCでは、リモートからの攻撃者が認証を回避し、cipher suite 0 (あるいはcipher zero)と任意のパスワードを使用して任意のIPMIコマンドを実行することができます。
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-4784

CVE-2013-4783  (CVSS Base Score = 10.0)
Dell iDRAC 6 BMCでは、リモートからの攻撃者が認証を回避し、cipher suite 0 (あるいはcipher zero)と任意のパスワードを使用して任意のIPMIコマンドを実行することができます。
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2013-4783

対象製品:

マカフィーでは、複数の Email Gateway、Email and Web Security または Ironmail 製品にリスクがあることを確認しました。本情報は、アプライアンスの脆弱性を緩和するための情報として作成されています。

  • デフォルト設定は、IPMI、 iLO または iDRACのアプライアンス製品出荷時の設定 (有効または無効) です。
    例外: お客様が導入後設定を変更した場合は異なる場合があります。
ハードウェア製品 ハードウェア
プラットフォーム
デフォルト
設定
CVE # Risk & Exposure 脆弱性
(あり/なし)
E2200 Dell PE1950 IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
EWS3200 Dell PE1950
Dell R200
IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
EWS3300 Dell R610 IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
EWS3400 Dell R610
Dell PE1950
IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
E5200 Dell PE2950 IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
EG5500 Dell 710 IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
EWS3000 Dell CR100 IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
EG5000 Dell R610 IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
S10E Dell CR100 IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
S120 (A-B) Dell R200 IPMI 有効
iDRAC 有効
CVE-2013-4786
CVE-2013-4785
CVE-2013-4783
あり
Content Security Blade Server (CSBS) HP BL460 G8 IPMI 有効
iLO 有効
CVE-2013-4786
CVE-2013-4784
あり
EG5000 Intel SR2625UR
Intel R1304SP
IPMI 無効 CVE-2013-4786 なし
(デフォルト設定)
EWS3100 Intel SR1530SH IPMI 無効 CVE-2013-4786 なし
(デフォルト設定)
EG4000 Intel SR1530SH IPMI 無効 CVE-2013-4786 なし
(デフォルト設定)
EWS3200 Intel SR1630GP IPMI 無効 CVE-2013-4786 なし
(デフォルト設定)
EWS3300 Intel SR1625UR IPMI 無効 CVE-2013-4786 なし
(デフォルト設定)
EWS3400 Intel SR2625UR IPMI 無効 CVE-2013-4786 なし
(デフォルト設定)
EG5500 Intel SR2625UR
Intel R1208GZ
Intel R2308GZ
IPMI 無効 CVE-2013-4786 なし
(デフォルト設定)
Content Security Blade Server (CSBS) HP BL460 G1 IPMI 無効
iLO 有効
CVE-2013-4786
CVE-2013-4784
なし
(デフォルト設定)
Content Security Blade Server (CSBS) HP BL460 G6 IPMI 無効
iLO 有効
CVE-2013-4786
CVE-2013-4784
なし
(デフォルト設定)
S10D Portwell NAR4040 IPMI 無効 CVE-2013-4786 なし
(デフォルト設定)

注意: 下記のリストは、アプライアンスに脆弱性があるか判断できる状態を示しています。

iLO カードは2つの状態に分けられます。

  • iLO と IPMI が無効な場合、脆弱性はありません。
  • iLO と IPMI が有効な場合、脆弱性の対象となります。

iDARC カードは4つの状態に分けられます。

  • iDRAC 有効/IPMI 有効 の場合、脆弱性の対象となります。
  • iDRAC 有効/IPMI 無効 の場合、脆弱性はありません。
  • iDRAC 無効/IPMI 有効 の場合、脆弱性はありません。
  • iDRAC 無効/IPMI 無効 の場合、脆弱性はありません。
緩和策:

重要: マカフィーは各コンポーネント製造元 (Intel、Dell、HP または Supermicro) の推奨手順に従い、これらの機能を設定することを推奨します。

本情報対象となるアプライアンスを使用している場合はどのようにすればよいですか?

アプライアンスの IPMI、iLO と iDRAC の接続を確認し、それらが内部の管理ネットワークのみに接続されていることを確認します。Firewall や認証アクセス用のリモート管理ポートの接続を制限するなどし、サブネットまたは VLAN を切り離します。

ご利用のアプライアンスが、 IPMI、iLO と iDRAC の接続をサポートしている環境でも、インターネットのような信頼できないネットワークに接続せずに、内部の管理されたネットワークからのみアクセスを制限している場合、緩和策は必要ありません。

ご利用のアプライアンスが、 IPMI、iLO と iDRAC の接続をサポートしている環境でインターネットのような信頼できないネットワークに接続されている場合、マカフィーは認証されていないリモートからのアクセスリスクを軽減するため推奨される緩和策の手順を実施することを強く推奨します。

ご利用のアプライアンスが対象かどうか不明な場合はどのようにすればよいですか?

アプライアンスがインターネットからのアクセスが有効に設定されているか不明な場合、マカフィーは Vulnerability Manager のようなネットワークスキャナを使用して IPMI が使用する UDP 623 ポートが外部ネットワークからアクセス可能か確認することを強く推奨します。

推奨の緩和策手順:

Dell または Intel ベースのアプライアンスをご利用の場合

  1. システムのブート時に CTRL-E キーを押し、[Remote Access Configuration Utility] を起動します。
  2. [IPMI Over LAN] [Off] に設定します。
  3. ESC キーを押し [Save Changes and Exit] を選択します。
  4. 信頼できる端末からのみ、IPMI/iDRAC にアクセスできることを確認します。

HP ベースのアプライアンスをご利用の場合

  1. iLO4 のWeb based management console に Administrator としてアクセスします。
  2. [AdministrationAccess Settings] をクリックします。
  3. [Enable IPMI/DCMI over LAN on Port 623] の選択を解除します。
  4. [Apply] 適用をクリックします。
確認:

この脆弱性は US-CERT のVulnerability Bulletin SB13-196 により最初に公開されました。

よくある質問:

これらの脆弱性の対象となる製品は?
対象製品のリストを参照してください。

CVSSとは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

使用されるCVSSスコアリングメトリクスは何ですか?

CVE-2013-4786 

 Base Score 7.8
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact None
 Availability impact None
 Temporal Score 7.0
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Workaround
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4786&vector=(AV:N/AC:L/Au:N/C:C/I:N/A:N)&version=2

CVE-2013-4785

 Base Score 10
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 9.0
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Workaround
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4785&vector=(AV:N/AC:L/Au:N/C:C/I:C/A:C)&version=2

CVE-2013-4784

 Base Score 10
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 9.0
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Workaround
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4784&vector=(AV:N/AC:L/Au:N/C:C/I:C/A:C)&version=2

CVE-2013-4783

 Base Score 10
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 9.0
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Workaround
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4784&vector=(AV:N/AC:L/Au:N/C:C/I:C/A:C)&version=2

マカフィーは、問題を解決するために何をしましたか?
マカフィーはハードウェアの製造元からの意見を元に、CVE の問題を解決するための製造元の推奨方針に従うことにしました。

この問題を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。マカフィーはソフトウェアの脆弱性修正とレポートに対する開発ガイドラインとベストプラクティスの専任する、Organization for Internet Safety (OIS) の一員です。

マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、パッチ、Hotfix を合わせてのみ発表します。

Disclaimer

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.

掲載日 2013/08/01

製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間