公開日:2015/12/17 最終更新日:2016/01/08

JVNVU#94212028
Ipswitch WhatsUp Gold に SQL インジェクションおよび複数のクロスサイトスクリプティングの脆弱性

概要

Ipswitch, Inc が提供する WatsUp Gold には、SQL インジェクションおよび複数のクロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • WhatsUpGold Version 16.2.6
  • WhatsUpGold Version 16.3.1
その他のバージョンも影響を受ける可能性があるとのことです。

詳細情報

SQL インジェクション (CWE-89) - CVE-2015-6004
検索フィールド "Find Device" はユーザの入力値が適切に無害化されないため、攻撃者が guest アカウントなどから SQL クエリや SQL コマンドを実行することが可能です。
"UniqueID" パラメータはユーザの入力値を正しく無害化しないため、WhatsUp Gold が使用しているデータベースの情報に自由にアクセスされる可能性があります。このパラメータは認証後にのみアクセス可能です。さらに詳しい情報は、Rapid7 のアドバイザリ R7-2015-19 を参照してください。

クロスサイトスクリプティング (CWE-80) - CVE-2015-6005
いくつかの SNMP オブジェクトに細工されたデータを登録することで、格納型クロスサイトスクリプティングが可能です。SNMP のトラップメッセージを使用した攻撃も可能です。さらに詳しい情報は、Rapid7 のアドバイザリ R7-2015-19 を参照してください。

さらに、次のユーザ入力項目も適切に無害化されないため、格納型クロスサイトスクリプティングが可能です。

  • View Names
  • Group Names
  • Flow Monitor Credentials and Threshold Name
  • Task Library Name and Description
  • Policy Library Name and Description
  • Template Library Name and Description
  • System Script Library Name and Description
  • CLI Settings Library Description
これらの項目へのアクセスには管理者などの一定の権限が必要なため、攻撃は難しいと考えられます。

想定される影響

遠隔の攻撃者によって、当該製品で使用するデータベース上で SQL コマンドを実行される可能性があります。当該製品の管理者によって、他の管理者やユーザに対するクロスサイトスクリプティングの攻撃を実行される可能性があります。

対策方法

アップデートする
Ipswitch, Inc が提供する情報をもとに、最新版へアップデートしてください。
Ipswitch, Inc はこれらの脆弱性を修正した WhatsUp Gold 16.4 をリリースしています。

ベンダ情報

ベンダ リンク
Ipswitch, Inc WhatsUp Gold

参考情報

  1. CERT/CC Vulnerability Note VU#176160
    IPswitch WhatsUp Gold contains multiple XSS vulnerabilities and a SQLi
  2. Rapid7
    Multiple Disclosures for Multiple Network Management Systems

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 9.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:P/I:P/A:P
基本値: 7.5
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-6004
CVE-2015-6005
JVN iPedia

更新履歴

2015/12/17
公表日時の記載を修正しました。
2016/01/08
対策方法のバージョン情報を更新しました。