公開日:2017/06/15 最終更新日:2017/06/20

JVNVU#97705299
HPE SiteScope に複数の脆弱性

概要

HPE SiteScope には複数の脆弱性が存在します。

影響を受けるシステム

  • SiteScope 11.31.461
報告者は上記バージョンで本脆弱性を確認していますが、本製品の他のバージョンにおいても本脆弱性の影響を受ける可能性があります。

詳細情報

重要な機能に対する認証欠如の問題 (CWE-306)
HPE SiteScope には、ファイルアクセス処理において認証不備の脆弱性が存在します。遠隔の第三者によってシステム上の任意のファイルを取得されるなどの可能性があります。報告者は、2012年に公開された Metasploit モジュール hp_sitescope_getfileinternal_access が、SiteScope 11.31.461 に対して使用可能であることを確認しているとのことです。

暗号化鍵がハードコードされている問題 (CWE-321)
SiteScope に含まれている ss_pu.jar ライブラリには暗号化鍵がハードコードされており、SiteScope の設定ファイルに含まれている認証情報を復号されるなどの可能性があります。

不完全または危険な暗号化アルゴリズムの使用 (CWE-327)
SiteScope は、設定ファイルに含まれる認証情報の保護などのため、独自にカスタマイズした暗号化関数 (例: ss_pu.jar に含まれる OldEncryptionHandler) を使用していることがあります。
報告者が調査したシステムでは、master.config 内に存在する _httpSecureKeyPassword_httpSecureKeystorePassword などの項目が OldEncryptionHandler で暗号化されていたとのことです。

認証情報の不十分な保護 (CWE-522)
SiteScope の設定管理ページでは、認証情報を平文の形で HTTP 経由で送信しています。

報告者はこれらの問題についてブログで公開しています。

想定される影響

遠隔の第三者によって、HPE SiteScope を使用しているシステムの任意のファイルにアクセスされたり、SiteScope の認証情報を取得される可能性があります。

対策方法

古い API を無効にする
開発者によると、当該製品の 11.24 IP7 およびそれ以降のバージョンでは、設定ファイル groups/master.config_disableOldAPIs=true という設定を追加することで、認証なしでのサービス実行を無効にできるとのことです。

キーマネージメント機能を有効にする
開発者によると、

  • ss_pu.jar にハードコードされている鍵は後方互換性および難読化のために使用されているもの
  • 暗号化のためにはキーマネージメント機能が提供されている
  • 暗号化に使われる鍵はキーマネージメント機能を有効にした際に生成される
とのことです。
キーマネージメント機能の詳細については、SiteScope Deployment Guide の Chapter 20: Configuring SiteScope to Use a Custom Key for Data Encryption を参照してください。

開発者によると、CWE-522 の脆弱性への対応は、2017年第3四半期リリース予定のアップデートで行われるとのことです。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
  • 当該製品へのアクセスは全て TLS/SSL 経由で行われるようにする
  • 当該製品へのアクセスは信頼できるホストやネットワークからのみに制限する

ベンダ情報

ベンダ リンク
Hewlett-Packard Development Company L.P. SiteScope

参考情報

  1. CERT/CC Vulnerability Note VU#768399
    HPE SiteScope contains multiple vulnerabilities
  2. BYTESDARKLY
    EXPLOITING HP SITESCOPE FROM ZERO TO COMPROMISE!
  3. Zero Day Initiative
    (0Day) HP SiteScope SOAP Call getFileInternal Remote Code Execution Vulnerability
  4. Rapid7
    HP SiteScope SOAP Call getFileInternal Remote File Access

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
基本値: 6.2
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:C/I:N/A:N
基本値: 7.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

この CVSS は暗号化鍵がハードコードされている問題 (CWE-321) について評価したものです。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2017/06/20
製品名の誤表記を修正しました