先週のクラウドセキュリティ:ビデオ会議系SaaSで相次いだ、サイバー攻撃者が会議に参加出来る脆弱性
2020年1月26日週に気になったクラウドセキュリテイトピックをダイジェストでお伝えする。なお本トピックで取り上げる基準はクラウドサービスに関するトピックや、クラウドサービス固有のセキュリテイインシデントによって発生したセキュリテイインシデントを対象としており、エンドポイント関連やマルウェア等は対象としていない。
■Azure Stackに関連する2つのCVE
チェックポイントは、Azure Stackに関連する脆弱性CVE-2019-1234、CVE-2019-1372について詳細を公開した。なお、本脆弱性については既にマイクロソフトによって修正されている。
・CVE-2019-1234 SSRFの脆弱性
Azure Stackに影響を与えるリクエストスプーフィングの問題。悪用された場合は、サイバー攻撃者は、Azureインフラストラクチャで実行されている仮想マシンのスクリーンショットや機密情報に不正にアクセス出来る。共有、専用、または分離の仮想マシンで実行されていてもアクセス可能。
・CVE-2019-1372 Azure Stackのリモートでコードが実行される脆弱性
Azure Stack上のAzure App Serviceに影響するリモートコード実行の脆弱性。これにより、サイバー攻撃者がAzureサーバー全体を完全に制御することが可能になる。サイバー攻撃者がAzure Cloudで無料のユーザーアカウントを作成し、そのアカウントで悪意のある機能を実行するか、認証されていないHTTPリクエストをAzure Stackユーザーポータルに送信することで、CVE-2019-1234とCVE-2019-1372の問題両方を悪用することが可能になる。
■ビデオ会議SaaSで相次いだ脆弱性
ビデオ会議を提供するSaaSソリューションのZoomとWebEXで相次いでサイバー攻撃者が会議に参加出来てしまう脆弱性が発見された。なお、どちらもメーカーは脆弱性を把握しており、修正済み。
・Zoom、サイバー攻撃者が会議IDを推測し会議に参加可能にする脆弱性を修正しました。
Zoomは主催者がビデオ会議をセッテイングし、手軽に参加者を招待することが出来るのが特徴で人気を集めている。主催者が会議をセッテイングすると、システムが9~11桁の会議IDをランダムに生成する。会議参加者はこのランダムに生成された会議IDを入力することで会議に参加することが出来る。
チェックポイントは、Zoomが生成する会議IDに規則性を発見し、最大4%の会議IDを推測出来る脆弱性を発見した。主催者が会議参加時にパスワードを有効化していないと、サイバー攻撃者が推測した会議IDを入力するだけで「こっそり」会議に参加出来てしまうというもの。
本脆弱性はチェックポイントからZoom社に共有されており、Zoom社は本脆弱性に対して以下の対策を施し、現在は本脆弱性は再現することはできなくなっている。
Zoomが実施した対策
1.パスワードは、今後スケジュールされるすべての会議にデフォルトで適用される。
2.ユーザーは、すでにスケジュールされている将来の会議にパスワードを追加し、その方法に関する指示を電子メールで受け取ることができる。
3.パスワード設定は、アカウント管理者がアカウントレベルおよびグループレベルで強制できる。
4.Zoomは、会議IDが有効か無効かを自動的に示さない。試行ごとに、ページが読み込まれ、会議への参加が試行される。
5.会議IDのスキャンを繰り返し試行すると、一定期間ブロックする。
・WebEX、認証されていない参加者が会議に参加出来る脆弱性を修正
Cisco Webex Meetings SuiteサイトおよびCisco Webex Meetings Onlineサイトの脆弱性により、招待されていないリモート参加者が、会議パスワードを入力せずに、認証なしでパスワードで保護された会議に参加する可能性がある。この脆弱性は、モバイルアプリケーションの特定の会議参加フロー中に発生する意図しない会議情報の露出によって起きる。不正な出席者は、モバイルデバイスのWebブラウザから既知の会議IDまたは会議URLにアクセスすることにより、この脆弱性を悪用する可能性がある。
39.11.5および40.1.3より前のリリースのCisco Webex Meetings SuiteサイトおよびCisco Webex Meetings Onlineサイトに影響する。本事象は既にシスコ社によって修正済み。