セキュアヴェイルの新入社員となりました新社会人 0x90 がOpenSSL の脆弱性であるCVE-2022-0778の各UTM/IPS/WAFの対応状況を投稿します。
※本記事の内容は、2022年6月2日現在の公開情報をもとに記載しております。お使いの製品でIPS機能等が利用できるライセンスであるか、シグネチャ等のアップデート方法や具体的な検知・防御の設定方法については購入元の代理店様や運用・保守ベンダー様へお問い合わせください。
目次
CVE-2022-0778の概要
CVE-2022-0778はOpenSSLが不正な証明書を処理することで無限ループを引き起こす脆弱性です。
この脆弱性の被害としてサービス提供不能状態に陥る可能性があり、CVSSは7.5と高い値です。
CVE-2022-0778は次の状況で起こる可能性があります。
- TLS クライアントがサーバ証明書を処理する
- TLS サーバがクライアント証明書を処理する
- ホスティングサービス事業者が顧客から受け取った証明書や秘密鍵を処理する
- 認証局が契約者から受け取った CSR (証明書署名要求) データを処理する
- その他、1 形式の楕円曲線パラメータを処理する場合
NVDからの発表
JPCERT/CCの脆弱性情報
OpenSSL の BN_mod_sqrt() における法が非素数のときに無限ループを引き起こす問題
CVE-2022-0778の影響範囲
CVE-2022-0778の影響範囲は、下記のOpenSSLのバージョンです。
- 0.2-1.0.2zc
- 1.1-1.1.1m
- 0.0, 3.0.1
※上記以外のサポート外のOpenSSLのバージョンでも影響を受ける場合があります。
CVE-2022-0778の基本的な対策
CVE-2022-0778の基本的な対策としてOpenSSLのバージョンアップがあります。
OpenSSL 1.0.2 → OpenSSL1.0.2zd
OpenSSL 1.1.1 → OpenSSL1.1.1n
OpenSSL 3.0 → OpenSSL3.0.2
※上記以外のサポート外のOpenSSLのバージョンでも影響を受ける場合があります。
各UTM/IPS/WAF/ファイアウォールの対応状況について
Palo Alto Networks, Fortinet, F5 Networks, SonicWall, A10 Networksの対応状況について紹介します。
Palo Alto Networks
Palo Alto Networks製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。
PAN-OS
8.1.23, 9.0.16-h2, 9.1.13-h3, 10.0.10, 10.1.5-h1, 10.2.1で修正されています。
GlobalProtect アプリ
5.1.11, 5.2.12, 5.3.4, 6.0.1で修正されています。
対応するシグネチャ(今後追加される可能性があります。)
- OpenSSL Elliptic Curve Public Key Handling Denial-of-Service Vulnerability(ID:92409, 92411,92522)
対応状況の詳細については、Palo Alto Networks Security Advisoriesにてご確認ください。
Fortinet
FortiGate製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。
FortiOS
6.4.9, 7.0.6, 7.2.0で修正されています。
FortiClient Windows
6.4.9, 7.0.4で修正されています。
対応するシグネチャ(今後追加される可能性があります。)
- Elliptic.Curve.Public.Key.Handling.DoS(ID:51345)
対応状況の詳細については、FortiGuardLabsにてご確認ください。
F5 Networks
F5 Networks製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。
BIG-IP
13.1.5, 14.1.4.6, 15.1.5.1, 16.1.2.2, 17.0.0で修正されています。
※コントロールプレーンについては、緩和策がメーカーサイトに公開されています。
BIG-IP Edge Client
7.2.1.5, 7.2.2.1で修正されています。
対応するシグネチャ(今後追加される可能性があります。)
- 現在(2022/06/02)当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
- すでに実機上には配信されている可能性もあります。
対応状況の詳細については、AskF5のレポートにてご確認ください。
SonicWall
SonicWall製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。
SonicOS
5.9.2.14, 6.5.4.10-95n, 7.0.1-5052で修正されています。
対応するシグネチャ(今後追加される可能性があります。)
- OpenSSL BN_mod_sqrt Function DoS 1(ID:15407)
- OpenSSL BN_mod_sqrt Function DoS 2(ID:15491)
- OpenSSL BN_mod_sqrt Function DoS 3(ID:15351)
- OpenSSL BN_mod_sqrt Function DoS 4(ID:15755)
対応状況の詳細については、SonicWallのサポートページとSonicWallの脆弱性レポートにてご確認ください。
A10 Networks
A10 Networks製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。
ACOS
4.1.4-GR1-P10, 5.0.2-P2 TPS, 5.2.1-P5で修正されています。
※データプレーンとマネジメントプレーンについては、それぞれ緩和策がメーカーサイトに公開されています。
対応するシグネチャ(今後追加される可能性があります。)
- 現在(2022/06/02)当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
※すでに実機上には配信されている可能性もあります。
対応状況の詳細については、A10 Networksのレポートにてご確認ください。
まとめ
CVE-2022-0778は、OpenSSLが不正に細工された証明書を処理することで無限ループを引き起こし、サービス提供不能状態に陥る恐れのある脆弱性です。
多くのユーザ環境において、この脆弱性を悪用され、影響を受ける恐れがあるものは、HTTPSを用いたWebアクセスと思われます。
しかし、一般的にインターネット上に公開されているWebサイトに不正に細工された証明書が使われている可能性は非常に低く、現在(2022/06/02)当グループ調査の範囲でこの脆弱性を悪用した深刻な攻撃を確認できておりません。
そのため、CVSS値は高い値となっていますが、ユーザ環境次第では、この脆弱性単体でそれほど大きな影響があるものではないと考えています。
しかしながら、根本対策にはベンダーが公開している情報にもとづいて対応が必要なことに変わりはありません。
私は、この脆弱性の調査を通じて、CVSSのスコアが高い脆弱性でも、ユーザ環境やシステムの使用方法によって影響が小さいこともあると学びました。そして、脆弱性の内容・影響の正確な把握とユーザ環境の運用監視を日常的に行うことで、すぐに異常に気づける体制の構築と迅速に異常への対処ができる環境を目指すことが重要と感じました。
最後に、ユーザ環境における緊急での根本対策の要否は環境によって異なりますので、購入元の代理店様や運用・保守ベンダー様へお問い合わせください。
最後までお読みいただきありがとうございました!皆様のお役にたてますと幸いです。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。