F-Secure研究者が講演で警鐘、コマンドインジェクション攻撃防ぐコードレビューを―「Black Hat 2019」レポート
F5「BIG-IP」のiRule、コーディング次第で脆弱性量産リスクあり
2019年09月09日 07時00分更新
F5ネットワークスの「BIG-IP」は、市場で高いシェアを誇るロードバランサー/ADC製品だ。「iRule」と呼ばれる同社独自のスクリプト言語(iRulesとも呼ばれる)を備えており、たとえば負荷分散先を指定したり、コンテンツ内容など各種条件を指定してダイナミックに設定変更したり、通信内容を書き換えたりと、きめ細かいトラフィック制御をすることができる。
iRuleは元々、「Tcl」(Tool Command Languageの略、ティクルと発音する)というスクリプト言語のバージョン8.4をベースに開発された言語だ。そして今回、このTclに起因する潜在的な脆弱性が見つかり、iRuleスクリプトの書き方によっては“コマンドインジェクション(不正なコマンド挿入)”攻撃が可能であることが判明した。Webサイトのネットワークエンジニアが書いたiRuleスクリプトに潜在的な脆弱性があり、攻撃者がこれを悪用すれば、BIG-IPを乗っ取って、最悪の場合はそこを流れるトラフィックデータや認証情報などを傍受することも可能になるという。
2019年8月3日~8日にかけて米国ラスベガスで開催された「Black Hat USA 2019」において、この脆弱性の発見者であるF-Secureのシニアセキュリティコンサルタントであるクリストファー・ジャーカビー氏が詳しく解説した。
Black Hat USA 2019で登壇したF-Secureのシニアセキュリティコンサルタント、クリストファー・ジャーカビー(Christoffer Jerkeby)氏
BIG-IPの挙動をスクリプトで制御できるiRuleは、Tcl 8.4ベースで開発された言語だ
“都市伝説”扱い? Tclの脆弱性が本当はまずかった話
ジャーカビー氏がこの脆弱性を発見したのは、ある顧客からBIG-IP導入時のセキュアな活用方法についてのコンサルティング依頼を受け、調査したときだったという。
「Tclにコマンドインジェクション攻撃のリスクがあることは、実は1995年頃から指摘されていた。ネット検索すれば、少ないながらもドキュメントやWikiが見つかる。それなのに、なぜかはわからないがその存在を否定する人が多くて。Tclの脆弱性はまるで“都市伝説”みたいに扱われ、気が付いたら人々の記憶から消え去っていた」。ジャーカビー氏はインタビューで首をすくめながらそう述べる。
脆弱性を発見したジャーカビー氏はF5ネットワークスに情報提供を行い、以後は密に連携しながら修正や対策案を検討していった。F5はセキュリティアドバイザリーを公開したほか、脆弱な記述を検出した場合はスクリプトを保存するタイミング、またはシステムログに警告を表示する対策を実施すると発表している。
■F5のセキュリティアドバイザリー(K15650046)
https://support.f5.com/csp/article/K15650046
この問題はBIG-IPそのものではなくiRule/Tclスクリプトに潜在する欠陥であり、顧客企業のネットワークエンジニアが特定のコーディング手法をとった場合に生じるものだ。したがって、F5がソフトウェアパッチなどで修正できるものではなく、顧客企業自らで問題を調査し、修正する必要があるとF-Secureでは強調している。
「iRuleやTclの脆弱性ではあるけれど、ユーザーが『セキュアコーディング』を意識し、作成したスクリプトが安全かどうかをきちんと解析/検証することで攻撃は防ぐことができる。正しくコーディングすることでSQLインジェクション攻撃を防ぐのと同じだ」
後述するとおり、ジャーカビー氏は自動検証ツールも提供している。これをきっかけに、BIG-IPを運用するネットワークエンジニアもセキュアコーディングを取り入れてもらえるとうれしいと、同氏は語る。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
