2024 年 6 月の Patch Tuesday に関する Akamai の見解
プライド月間である今月は、おそらく誰もがプライドを称えることに忙しいので、CVE はそれほど多くありません。互いに団結し、深刻なセキュリティ脆弱性に対処しましょう。
いつもの月と同様に、Akamai Security Intelligence Group では、パッチが適用された、より興味深い脆弱性を確認することに着手しました。
6 月の Patch Tuesday では 49 件の脆弱性にパッチが適用されました。その中には Microsoft Message Queuing(MSMQ) の重大な脆弱性と、CVSS スコアの高い(9.8) Azure Data Science Virtual Machine(DSVM)の脆弱性が含まれています。
このブログ記事では、それらの脆弱性がどの程度重大であるか、影響を受けるアプリケーションやサービスがどの程度一般的であるかを評価し、修正されたバグについて現実的な視点を提供します。Patch Tuesday がリリースされた後は毎回、数日後に Akamai が知見を提供しますのでご注目ください。
こちらは継続的なレポートであり、調査の進行に合わせて情報を追加してまいります。どうぞご期待ください。
今月は、バグにパッチが適用された次の領域に焦点を合わせています。
Microsoft Message Queuing(MSMQ)
MSMQ サービスは Windows の オプション機能 であり、異なるアプリケーション間でメッセージを配信するのに使用されます。オプション機能であるにもかかわらず、Microsoft Exchange サーバーなど、Windows のエンタープライズアプリケーションの多くによってバックグラウンドで使用されています。 当社の調査結果から、このサービスは環境のほぼ 74% において、通常、複数のマシンにインストールされていることがわかりました。
今月は、ネットワークリモートコード実行(RCE)の重大な脆弱性( CVE-2024-30080)があります。この脆弱性を利用することで、攻撃者は特別に細工されたパケットを被害者の MSMQ サーバーに送信して、コードをリモートで実行することができます。
MSMQ サービスはポート 1801 からアクセスできますが、クライアントの多くはアクセスする必要がないため (主にエンタープライズアプリケーション自体で使用されるため)、 ポート 1801 と MSMQ サービスへの任意のネットワークアクセスを制限することを推奨します。この脆弱性の緩和策として、Microsoft もこれを推奨しています。
許可リストポリシーを使用してサービスをセグメント化することで、実際に必要なマシンのみにアクセスできるようにしてください。セグメンテーションについては、弊社のブログ記事「 実用的観点からの(マイクロ)セグメンテーション 」(特に アプリケーションリングフェンシング と マイクロセグメンテーション のセクション)を参照してください。
Azure Data Science Virtual Machine(DSVM)
Azure Data Science Virtual Machine は、Azure クラウドプラットフォームで利用できるカスタマイズされた仮想マシンイメージの一種であり、データサイエンスに必要なさまざまなツールやプログラムがあらかじめインストールされています。 CVE-2024-37325 は、24.05.24 より前のバージョンの Ubuntu DSVM に影響を及ぼす権限昇格(EoP)の脆弱性です。
攻撃者が脆弱性の悪用後に上位のセッションを行えるようになる一般的な EoP とは異なり、このケースでは仮想マシンにインストールされているサービスのいずれかから何らかのデータ漏えいが発生しているようです。認証されていない攻撃者が特定の要求を送信すると、認証済みユーザーの認証情報が漏えいし、攻撃者はその認証情報を使用してそのマシンにログインすることができます。
Microsoft は、影響を受けたマシンをアップグレードする方法に関する ガイダンス を提供しました。また、インストールされているサービスの 1 つに問題があるように思われるため、Akamai はそのマシンがリッスンしているすべてのポートをチェックし、それらをリングフェンスして外部アクセスを防止することをお勧めします。
Windows Link Layer Topology Discovery Protocol および Windows Wi-Fi Driver
Windows Link Layer Topology Discovery Protocol は、デバイスをマッピングしてネットワークトポロジーを把握するために使用される Microsoft 独自のプロトコルです。このプロトコルは複数のタイプのネットワーク(有線、ワイヤレス、さらには電力線)をサポートしていますが、今月パッチが適用された 2 つの脆弱性はどちらも Wi-Fi ネットワークアダプターに関連しているため、Akamai は Wi-Fi ドライバーの脆弱性と併せて検討しました。
これらの脆弱性はすべて Wi-Fi に関連しているため、攻撃者が悪用するためには電波が届くほど近接している必要があります。そのため、「見知らぬ人は危険である」という考え方に従えば、問題ありません。
冗談はさておき、Wi-Fi プロトコルの実装はほとんどのファイアウォール製品やセグメンテーション製品の対象外です。なぜなら、それらの製品はネットワークを介して転送されるデータを処理するものであり、ネットワーク自体のセットアップを処理するものではないからです。したがって、実のところパッチ適用(またはファラデーケージを使用して通常の Wi-Fi さえも受信できなくする)以外にこの脆弱性を緩和する方法はないため、できるだけ早くパッチを適用することをお勧めします。
サービス |
CVE 番号 |
影響 |
|---|---|---|
Windows Link Layer Topology Discovery Protocol |
リモートコードの実行 |
|
Windows Wi-Fi Driver |
以前に対応したサービス
今月の Patch Tuesday で取り上げた CVE の多くは、過去のブログ記事で取り上げたシステムに関するものです。それらのサービスの分析や一般的な推奨事項についてご興味がある方は、これまでの Patch Tuesday に関する Akamai の見解 をご覧ください。
サービス |
CVE 番号 |
影響 |
必要なアクセス権 |
|---|---|---|---|
情報開示 |
ローカル |
||
リモートコードの実行 |
ローカル、攻撃者は被害者に悪性ファイルを開かせる必要があります |
||
サービス妨害 |
ネットワーク |
||
リモートコードの実行 |
ネットワーク |
||
サービス妨害 |
ローカル |
||
情報開示 |
ローカル |
このサマリーでは、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介します。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。リアルタイムの最新情報は、弊社の X(旧 Twitter)アカウントでご確認いただけます。