NW機器

OpenSSLの脆弱性(CVE-2022-0778)に対する各UTM/IPS/WAFの対応状況について

セキュアヴェイルの新入社員となりました新社会人 0x90 がOpenSSL の脆弱性であるCVE-2022-0778の各UTM/IPS/WAFの対応状況を投稿します。

※本記事の内容は、2022年6月2日現在の公開情報をもとに記載しております。お使いの製品でIPS機能等が利用できるライセンスであるか、シグネチャ等のアップデート方法や具体的な検知・防御の設定方法については購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

CVE-2022-0778の概要

CVE-2022-0778はOpenSSLが不正な証明書を処理することで無限ループを引き起こす脆弱性です。

この脆弱性の被害としてサービス提供不能状態に陥る可能性があり、CVSSは7.5と高い値です。

CVE-2022-0778は次の状況で起こる可能性があります。

  • TLS クライアントがサーバ証明書を処理する
  • TLS サーバがクライアント証明書を処理する
  • ホスティングサービス事業者が顧客から受け取った証明書や秘密鍵を処理する
  • 認証局が契約者から受け取った CSR (証明書署名要求) データを処理する
  • その他、1 形式の楕円曲線パラメータを処理する場合

NVDからの発表

NVD - CVE-2022-0778

JPCERT/CCの脆弱性情報

OpenSSL の BN_mod_sqrt() における法が非素数のときに無限ループを引き起こす問題

CVE-2022-0778の影響範囲

CVE-2022-0778の影響範囲は、下記のOpenSSLのバージョンです。

  • 0.2-1.0.2zc
  • 1.1-1.1.1m
  • 0.0, 3.0.1

※上記以外のサポート外のOpenSSLのバージョンでも影響を受ける場合があります。

CVE-2022-0778の基本的な対策

CVE-2022-0778の基本的な対策としてOpenSSLのバージョンアップがあります。

OpenSSL 1.0.2     →           OpenSSL1.0.2zd

OpenSSL 1.1.1     →           OpenSSL1.1.1n

OpenSSL 3.0        →           OpenSSL3.0.2

※上記以外のサポート外のOpenSSLのバージョンでも影響を受ける場合があります。

各UTM/IPS/WAF/ファイアウォールの対応状況について

Palo Alto Networks, Fortinet, F5 Networks, SonicWall, A10 Networksの対応状況について紹介します。

Palo Alto Networks

Palo Alto Networks製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

PAN-OS

8.1.23, 9.0.16-h2, 9.1.13-h3, 10.0.10, 10.1.5-h1, 10.2.1で修正されています。

GlobalProtect アプリ

5.1.11, 5.2.12, 5.3.4, 6.0.1で修正されています。

対応するシグネチャ(今後追加される可能性があります。)

  • OpenSSL Elliptic Curve Public Key Handling Denial-of-Service Vulnerability(ID:92409, 92411,92522)

対応状況の詳細については、Palo Alto Networks Security Advisoriesにてご確認ください。

Fortinet

FortiGate製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

FortiOS

6.4.9, 7.0.6, 7.2.0で修正されています。

FortiClient Windows

6.4.9, 7.0.4で修正されています。

対応するシグネチャ(今後追加される可能性があります。)

  • Elliptic.Curve.Public.Key.Handling.DoS(ID:51345)

対応状況の詳細については、FortiGuardLabsにてご確認ください。

F5 Networks

F5 Networks製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

BIG-IP

13.1.5, 14.1.4.6, 15.1.5.1, 16.1.2.2, 17.0.0で修正されています。

※コントロールプレーンについては、緩和策がメーカーサイトに公開されています。

BIG-IP Edge Client

7.2.1.5, 7.2.2.1で修正されています。

対応するシグネチャ(今後追加される可能性があります。)

  • 現在(2022/06/02)当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
    • すでに実機上には配信されている可能性もあります。

対応状況の詳細については、AskF5のレポートにてご確認ください。

SonicWall

SonicWall製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

SonicOS

5.9.2.14, 6.5.4.10-95n, 7.0.1-5052で修正されています。

対応するシグネチャ(今後追加される可能性があります。)

  • OpenSSL BN_mod_sqrt Function DoS 1(ID:15407)
  • OpenSSL BN_mod_sqrt Function DoS 2(ID:15491)
  • OpenSSL BN_mod_sqrt Function DoS 3(ID:15351)
  • OpenSSL BN_mod_sqrt Function DoS 4(ID:15755)

対応状況の詳細については、SonicWallのサポートページSonicWallの脆弱性レポートにてご確認ください。

A10 Networks

A10 Networks製品のCVE-2022-0778対策として製品のバージョンアップが推奨されています。

ACOS

4.1.4-GR1-P10, 5.0.2-P2 TPS, 5.2.1-P5で修正されています。

※データプレーンとマネジメントプレーンについては、それぞれ緩和策がメーカーサイトに公開されています。

対応するシグネチャ(今後追加される可能性があります。)

  • 現在(2022/06/02)当グループ調査の範囲では、該当するシグネチャの情報は確認出来ませんでした。
    ※すでに実機上には配信されている可能性もあります。

対応状況の詳細については、A10 Networksのレポートにてご確認ください。

まとめ

CVE-2022-0778は、OpenSSLが不正に細工された証明書を処理することで無限ループを引き起こし、サービス提供不能状態に陥る恐れのある脆弱性です。

多くのユーザ環境において、この脆弱性を悪用され、影響を受ける恐れがあるものは、HTTPSを用いたWebアクセスと思われます。

しかし、一般的にインターネット上に公開されているWebサイトに不正に細工された証明書が使われている可能性は非常に低く、現在(2022/06/02)当グループ調査の範囲でこの脆弱性を悪用した深刻な攻撃を確認できておりません。

そのため、CVSS値は高い値となっていますが、ユーザ環境次第では、この脆弱性単体でそれほど大きな影響があるものではないと考えています。

しかしながら、根本対策にはベンダーが公開している情報にもとづいて対応が必要なことに変わりはありません。

私は、この脆弱性の調査を通じて、CVSSのスコアが高い脆弱性でも、ユーザ環境やシステムの使用方法によって影響が小さいこともあると学びました。そして、脆弱性の内容・影響の正確な把握とユーザ環境の運用監視を日常的に行うことで、すぐに異常に気づける体制の構築と迅速に異常への対処ができる環境を目指すことが重要と感じました。

最後に、ユーザ環境における緊急での根本対策の要否は環境によって異なりますので、購入元の代理店様や運用・保守ベンダー様へお問い合わせください。

最後までお読みいただきありがとうございました!皆様のお役にたてますと幸いです。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(220527_01)前のページ

LSC v2.3.1 build 220609 リリースノート次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. ログフォワーダー「okurun.jar」について
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. NW機器

    Nutanixを監視したいときのメトリクス監視項目例(API v2)

    当記事ではLogStare Collector(以下、LSC)でのNu…

  2. NW機器

    AWS Transit Gateway で集約したトラフィックをFortiGate で精査する

    当記事では、AWS Transit Gateway を用いて通信を集約…

  3. NW機器

    FortiGateのVDOM毎にログの転送先syslogサーバ指定を行う設定について

    当記事では、FortiGateのVDOM毎にログの転送先syslogサ…

  4. paloalto-edl-hosting
  5. NW機器

    Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする

    当記事では、Cubro社のPacketmasterを使用して、既存環境…

  6. A10ThunderをSNMPで監視する

    NW機器

    A10 ThunderをSNMPで監視するための設定方法

    当記事では、A10ネットワークス社  Thunder シリーズのSNM…

Microsoft365もっと活用セミナー

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP