公開日:2015/10/28 最終更新日:2015/10/28

JVNVU#93796805
HP ArcSight SmartConnector に複数の脆弱性

概要

HP ArcSight SmartConnector は、SSL 証明書を正しく検証できていません。また、ArcSight SmartConnector にはハードコードされたパスワードが含まれています。

影響を受けるシステム

  • ArcSight SmartConnector

詳細情報

不適切な証明書検証 (CWE-295) - CVE-2015-2902
ArcSight SmartConnector は、Logger 機能を持つデバイスへ送信されるログ情報の通信で証明書を検証できていません。そのため、ログ情報の通信に対して中間者攻撃 (man-in-the-middle attack) が可能となります。

ハードコードされたパスワードの使用 (CWE-259) - CVE-2015-2903
ArcSight が提供する CWSAPI SOAP サービスのデフォルトパスワードは変更不可能です。そのため、攻撃者は管理者権限を取得することが可能となります。

想定される影響

遠隔の攻撃者によって、SSL で暗号化されたログ情報の通信に対して中間者攻撃 (man-in-the-middle attack) を実行される可能性があります。またハードコードされたパスワードを遠隔の攻撃者に使用され、管理者権限でデバイスにアクセスされる可能性があります。

対策方法

アップデートする
HP はこれらの問題を修正した ArcSight SmartConnector のアップデートをリリースしています。影響を受けるユーザは直ちにアップデートを適用してください。

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#350508
    HHP ArcSight SmartConnector fails to properly validate SSL and contains a hard-coded password

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.10.28における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) 隣接ネットワークから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に必要な条件はない
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 単一の認証が必要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 全ての情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが全面的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用は阻害されない

Base Score:7.1

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-2902
CVE-2015-2903
JVN iPedia