公開日:2016/08/16 最終更新日:2016/09/16

JVNVU#90754453
プロキシサーバを使った通信を行うアプリケーションに中間者攻撃 (MITM) が可能な脆弱性

概要

HTTP CONNECT リクエスト と HTTP 407 Proxy Authentication Required レスポンスは平文で通信されるため、中間者攻撃 (man-in-the-middle attack) を受ける可能性があります。さらに、WebKit を使って作成されたアプリケーションは、HTTPS リクエスト送信先ドメインのコンテキストで、任意のスクリプトを実行される可能性があります。

影響を受けるシステム

影響を受けるシステムは広範囲に及びます。

  • プロキシサーバ経由で HTTPS リクエストを行うウェブブラウザおよびオペレーティングシステム
  • WebKit を使って作成されたアプリケーション
詳しくは、[ベンダ情報] または CERT/CC VU#905344 の [Vendor Information] 欄をご参照ください。

詳細情報

ウェブブラウザやオペレーティングシステムからプロキシサーバを経由して HTTPS リクエストを送信する場合、最初にプロキシサーバに対して HTTP CONNECT リクエストを送信します。HTTP CONNECT リクエストやプロキシサーバからの応答メッセージは平文でやりとりされるため、中間者攻撃 (man-in-the-middle attack) を受ける可能性があります。
中間者攻撃において、プロキシサーバからの応答メッセージを改ざんして 407 Proxy Authentication Required メッセージを返すことにより、認証情報を取得される可能性があります。

さらに、WebKit を使って作成されたアプリケーションのクライアントは、プロキシサーバからの応答メッセージを HTTPS リクエスト送信先ドメインのコンテキストで処理するため、中間者攻撃によって、ウェブブラウザ上で任意のスクリプトを実行される可能性があります。

詳しくは、 FalseCONNECT のウェブサイトをご参照ください。

想定される影響

中間者攻撃 (man-in-the-middle attack) により、認証情報を取得される可能性があります。また、WebKit を使って作成されたアプリケーションの場合、任意のスクリプトが実行される可能性があります。

対策方法

アップデートする
[ベンダ情報] や CERT/CC VU#905344 の [Vendor Information] 欄を参照し、開発者が提供する情報をもとに、アップデートを適用してください。

ワークアラウンドを実施する
信頼できないネットワークに接続しない
公共 WiFi を含め、信頼できないネットワークに接続している場合、プロキシサーバ経由で通信するクライアントを使用しないようにしてください。

プロキシ設定を無効にする
Proxy auto-configuration (PAC) や Web proxy auto-discovery (WPAD) の使用が不要である場合、それらの設定を無効にしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
NTT-CERT 該当製品無し 2016/08/22
NTTレゾナント株式会社 脆弱性情報提供済み 2016/08/16
アライドテレシス株式会社 該当製品無し 2016/08/16
サイボウズ株式会社 該当製品無し 2016/08/16
ジェイティ エンジニアリング株式会社 該当製品無し 2016/08/16
セイコーエプソン株式会社 脆弱性情報提供済み 2016/08/16
パナソニック株式会社 脆弱性情報提供済み 2016/08/16
ビー・ユー・ジーDMG森精機株式会社 脆弱性情報提供済み 2016/08/16
富士通株式会社 該当製品無し 2016/09/16
日本電気株式会社 該当製品無し(調査中) 2016/08/16
東芝テック株式会社 該当製品無し 2016/08/16
株式会社オービックビジネスコンサルタント 脆弱性情報提供済み 2016/08/16
株式会社ジャストシステム 脆弱性情報提供済み 2016/08/16
株式会社バッファロー 脆弱性情報提供済み 2016/08/16
株式会社リコー 脆弱性情報提供済み 2016/08/16
横河メータ&インスツルメンツ株式会社 該当製品無し 2016/08/16
横河電機株式会社 該当製品無し(調査中) 2016/08/16

参考情報

  1. CERT/CC Vulnerability Note VU#905344
    HTTP CONNECT and 407 Proxy Authentication Required messages are not integrity protected
  2. RFC 7235 - Hypertext Transfer Protocol (HTTP/1.1): Authentication
    3.2. 407 Proxy Authentication Required
  3. FalseCONNECT

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
基本値: 5.4
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:A/AC:M/Au:N/C:P/I:P/A:N
基本値: 4.3
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2016/08/16
日本電気株式会社のベンダステータスが更新されました
2016/08/22
NTT-CERTのベンダステータスが更新されました
2016/09/16
富士通株式会社のベンダステータスが更新されました