90社を超えるベンダーの製品に存在する可能性のある脆弱性が発覚

米国土安全保障省のコンピュータ セキュリティ対策機関 US-CERT が、めったにない内容の警告を発している。IT 業界のきわめて広い範囲に渡る90社以上のベンダーに関係する可能性があり、広範な影響を及ぼしかねないセキュリティホールが見つかったという。

US-CERT が14日に発表した脆弱性通知は、Unicode でエンコードした全角/半角文字を含む HTTP トラフィックを、多数のコンテンツ スキャンシステムが上手く処理できないという問題に言及したものだ。これは、過去数年に見つかった脆弱性の中で、最も広範囲に影響が及ぶ可能性を持つネットワークセキュリティ上の脆弱性の1つかもしれない。この脆弱性を突いて、コンテンツ スキャンシステムを回避することで、脆弱性を持つ環境の攻撃に悪用し得る。

US-CERT によると、脆弱性の存在するコンテンツ スキャンシステムに細工した HTTP パケットを送りつけることで、スキャン機能を回避できるという。ここでいうコンテンツ スキャンシステムとは、侵入防御システム (IPS)、侵入検知システム (IDS)、ファイヤーウォールなどが実装している機能を指す。これは、システムが特定の種類の全角/半角 Unicode 文字を処理する方法に問題が存在するためだ。Unicode は、さまざまな国の言語の文字セットを持つことから、最近では多言語に対応する際、標準的に用いるようになった。

この脆弱性は、攻撃につながる可能性があるものの、必ずしも直接的な攻撃に至るわけではない。

SANS Internet Storm Center の John Bambenek 氏は、同組織の Blog で次のように述べた。「これは攻撃そのものではないが、通常なら検出 (あるいは阻止) できる攻撃でも、見つかることなく IDS/IPS を通り抜けることが可能になる」

ネットワーク機器大手 Cisco Systems (NASDAQ:CSCO) は、同社の IPS 製品『Cisco Intrusion Prevention System』およびファイヤーウォール/IPS 機能セットを加えたネットワーク機器用ソフトウェア『Cisco IOS』に、脆弱性が存在することを認めた。Cisco は14日に公開したセキュリティ勧告で、この脆弱性を突いた攻撃は見つかっていない点を強調している。

Cisco は、この問題に関してまっ先にセキュリティ勧告を開示したベンダーの1つだが、脆弱性を持つ恐れのある製品のベンダーは、かなりの数にのぼる。

US-CERT は、脆弱性を未確認のベンダーも含め、影響が及ぶ可能性のある製品ベンダーとして、3Com、Alcatel (現 Alcatel-Lucent)、Avaya、D-Link Systems、Debian GNU/Linux、EMC、Fedora Project、Gentoo Linux、日立、IBM、Intel、Cisco 傘下の Linksys、Lucent (現 Alcatel-Lucent)、McAfee、Microsoft、Nokia、Nortel Networks、Novell、Red Hat、ソニー、Sun Microsystems、Symantec などの名前を挙げている。

各ベンダーの製品に今回の脆弱性が存在するとして、各社がどのように対応する計画なのかは不明だ。なお 3Com はセキュリティ勧告で、すでにソフトウェアをアップデートし、この問題を修正したと述べている。