NW機器

OpenSSLの脆弱性(CVE-2022-0778)に対する各UTM/IPS/WAFの対応状況について

この記事は投稿日から1年以上経過しています。

セキュアヴェイルの新入社員となりました新社会人 0x90 がOpenSSL の脆弱性であるCVE-2022-0778の各UTM/IPS/WAFの対応状況を投稿します。

※本記事の内容は、2022年6月2日現在の公開情報をもとに記載しております。お使いの製品でIPS機能等が利用できるライセンスであるか、シグネチャ等のアップデート方法や具体的な検知・防御の設定方法については購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

CVE-2022-0778の概要

CVE-2022-0778はOpenSSLが不正な証明書を処理することで無限ループを引き起こす脆弱性です。

この脆弱性の被害としてサービス提供不能状態に陥る可能性があり、CVSSは7.5と高い値です。

CVE-2022-0778は次の状況で起こる可能性があります。

  • TLS クライアントがサーバ証明書を処理する
  • TLS サーバがクライアント証明書を処理する
  • ホスティングサービス事業者が顧客から受け取った証明書や秘密鍵を処理する
  • 認証局が契約者から受け取った CSR (証明書署名要求) データを処理する
  • その他、1 形式の楕円曲線パラメータを処理する場合

NVDからの発表

NVD - CVE-2022-0778

JPCERT/CCの脆弱性情報

OpenSSL の BN_mod_sqrt() における法が非素数のときに無限ループを引き起こす問題

CVE-2022-0778の影響範囲

CVE-2022-0778の影響範囲は、下記のOpenSSLのバージョンです。

  • 0.2-1.0.2zc
  • 1.1-1.1.1m
  • 0.0, 3.0.1

※上記以外のサポート外のOpenSSLのバージョンでも影響を受ける場合があります。

CVE-2022-0778の基本的な対策

CVE-2022-0778の基本的な対策としてOpenSSLのバージョンアップがあります。

OpenSSL 1.0.2     →           OpenSSL1.0.2zd

OpenSSL 1.1.1     →           OpenSSL1.1.1n

OpenSSL 3.0        →           OpenSSL3.0.2

※上記以外のサポート外のOpenSSLのバージョンでも影響を受ける場合があります。

各UTM/IPS/WAF/ファイアウォールの対応状況について

Palo Alto Networks, Fortinet, F5 Networks, SonicWall, A10 Networksの対応状況について紹介します。

Palo Alto Networks

Palo Alto Networks製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

PAN-OS

8.1.23, 9.0.16-h2, 9.1.13-h3, 10.0.10, 10.1.5-h1, 10.2.1で修正されています。

GlobalProtect アプリ

5.1.11, 5.2.12, 5.3.4, 6.0.1で修正されています。

対応するシグネチャ(今後追加される可能性があります。)

  • OpenSSL Elliptic Curve Public Key Handling Denial-of-Service Vulnerability(ID:92409, 92411,92522)

対応状況の詳細については、Palo Alto Networks Security Advisoriesにてご確認ください。

Fortinet

FortiGate製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

FortiOS

6.4.9, 7.0.6, 7.2.0で修正されています。

FortiClient Windows

6.4.9, 7.0.4で修正されています。

対応するシグネチャ(今後追加される可能性があります。)

  • Elliptic.Curve.Public.Key.Handling.DoS(ID:51345)

対応状況の詳細については、FortiGuardLabsにてご確認ください。

F5 Networks

F5 Networks製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

BIG-IP

13.1.5, 14.1.4.6, 15.1.5.1, 16.1.2.2, 17.0.0で修正されています。

※コントロールプレーンについては、緩和策がメーカーサイトに公開されています。

BIG-IP Edge Client

7.2.1.5, 7.2.2.1で修正されています。

対応するシグネチャ(今後追加される可能性があります。)

  • 現在(2022/06/02)当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
    • すでに実機上には配信されている可能性もあります。

対応状況の詳細については、AskF5のレポートにてご確認ください。

SonicWall

SonicWall製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

SonicOS

5.9.2.14, 6.5.4.10-95n, 7.0.1-5052で修正されています。

対応するシグネチャ(今後追加される可能性があります。)

  • OpenSSL BN_mod_sqrt Function DoS 1(ID:15407)
  • OpenSSL BN_mod_sqrt Function DoS 2(ID:15491)
  • OpenSSL BN_mod_sqrt Function DoS 3(ID:15351)
  • OpenSSL BN_mod_sqrt Function DoS 4(ID:15755)

対応状況の詳細については、SonicWallのサポートページSonicWallの脆弱性レポートにてご確認ください。

A10 Networks

A10 Networks製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

ACOS

4.1.4-GR1-P10, 5.0.2-P2 TPS, 5.2.1-P5で修正されています。

※データプレーンとマネジメントプレーンについては、それぞれ緩和策がメーカーサイトに公開されています。

対応するシグネチャ(今後追加される可能性があります。)

  • 現在(2022/06/02)当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
    ※すでに実機上には配信されている可能性もあります。

対応状況の詳細については、A10 Networksのレポートにてご確認ください。

まとめ

CVE-2022-0778は、OpenSSLが不正に細工された証明書を処理することで無限ループを引き起こし、サービス提供不能状態に陥る恐れのある脆弱性です。

多くのユーザ環境において、この脆弱性を悪用され、影響を受ける恐れがあるものは、HTTPSを用いたWebアクセスと思われます。

しかし、一般的にインターネット上に公開されているWebサイトに不正に細工された証明書が使われている可能性は非常に低く、現在(2022/06/02)当グループ調査の範囲でこの脆弱性を悪用した深刻な攻撃を確認できておりません。

そのため、CVSS値は高い値となっていますが、ユーザ環境次第では、この脆弱性単体でそれほど大きな影響があるものではないと考えています。

しかしながら、根本対策にはベンダーが公開している情報にもとづいて対応が必要なことに変わりはありません。

私は、この脆弱性の調査を通じて、CVSSのスコアが高い脆弱性でも、ユーザ環境やシステムの使用方法によって影響が小さいこともあると学びました。そして、脆弱性の内容・影響の正確な把握とユーザ環境の運用監視を日常的に行うことで、すぐに異常に気づける体制の構築と迅速に異常への対処ができる環境を目指すことが重要と感じました。

最後に、ユーザ環境における緊急での根本対策の要否は環境によって異なりますので、購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

最後までお読みいただきありがとうございました!皆様のお役にたてますと幸いです。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(220527_01)前のページ

LSC v2.3.1 build 220609 リリースノート次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. Zabbixヒストリデータのレポート生成について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. PaloAlto

    ChatGPTを利用し、PaloAltoで多数のアドレスオブジェクトを作成するコマンドを、一括作成し…

    本記事はPaloAltoにおいて多数のアドレスオブジェクトを作成する際…

  2. FortiGate

    【禁断の異機種間HA】FortiGate-60F/60EでHAを組んでみた!

    こんにちは。takiです。タイトルの通り今回もやってみた系の記…

  3. NW機器

    Allied Telesis(インテリジェント・エッジ・スイッチ)にSNMP v1/SNMPv2c設…

    当記事では、Allied Telesis社のインテリジェント・エッジ・…

  4. PALOALTOのURLフィルタリングのカテゴリ例外における脆弱性
  5. NW機器

    【FortiGate】インスペクションモードについて

    インスペクションモードとはスループットよりセキュリティを優先させる…

  6. NW機器

    FortiGate にSNMP (v1, v2c) / Syslog 設定を追加する

    当記事では、FortiGate からSNMP 並びにSyslog を取…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  3. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP