サプライチェーン問題で増幅する「Ripple20」の脆弱性とは 脆弱性Lab

2020年7月14日

Ripple20とは

イスラエル企業JSOFは、IoTデバイスなどに影響する19件の脆弱性を発見したことを発表しました。
これらの脆弱性はTreck社が開発したTCP/IPライブラリの中に見つかっており、全ての脆弱性をあわせて「Ripple20」と名付けられました。

Treck社の名前を聞いたことがない方が多数いらっしゃると思いますが、今回の脆弱性が存在したTCP/IPライブラリは、ネットワーク通信に必要なものです。
JSOF社は、この脆弱性の影響を受ける製品は全世界に数億台以上あるとの見解を示しております。
JSOFの調査によると、プリンターから情報漏えいが発生したり、輸液ポンプや産業制御機器の動作を変えたりする可能性があるもようです。
日本で利用されている可能性が高いと考えられるCiscoのネットワーク製品やXeroxなどのプリンター製品にも影響があることが判明しています。
影響の有無を鑑み、適切に対応することが必要と考えます。

製品コンポーネントのサプライチェーン問題

Treck社のTCP/IPライブラリは、動作が軽量であると言われていることから、古くから多くのメーカーが製品に採用しているコンポーネントです。
利用者からすると、このメーカーの製品を使っているということはわかりますが、実際にどのコンポーネントを使っているかまで、正確に把握し管理できていないのが現実と考えます。

<サプライチェーン問題のイメージ>

例えば以下ポイントで、サプライチェーンを管理する必要がでてきているのではないでしょうか。

・ライブラリの提供企業:どこに提供(販売)しているのか

・製造企業:自社製品はどのコンポーネントを利用しているのか
       どの企業に製品を提供(販売)しているのか

・利用企業:どの企業の製品を利用しており、保守連絡先があるか

また、製品ベンダーが該当のライブラリを利用する際、そのまま利用したり、改変して利用したりと、様々なパターンが想定され、影響の特定が困難となっております。
そして、数十年前から利用されているため、該当のライブラリを利用していた製品ベンダーが、該当製品のサポートを終了していることも想定され、対策実施ができないパターンも考えられます。

Ripple20の脆弱性一覧

Ripple20には、Treck社のTCP/IPライブラリに19件の脆弱性が存在します。CVE番号順に各脆弱性の特徴を記載します。
CVSS値が9.0を超える脆弱性が4件あり、リモートコードの実行が可能な内容も含まれているため、バージョンアップの実施が推奨されます。

NoCVE番号CVSS
v3値
概要修正
バージョン
参考URL
1 CVE-2020-11896 10 IPv4トンネリングの処理において、リモートコード実行が可能です。 6.0.1.66
(2020/3/3)
2 CVE-2020-11897 10 複数の不正なIPv6パケットを介した境界外書き込みがあります。 5.0.1.35
(2009/4/6)
3 CVE-2020-11898 9.1 Pv4 / ICMPv4の長さパラメーターの不整合を不適切に処理し、リモートの攻撃者が情報漏えいを引き起こす可能性があります。 6.0.1.66
(2020/3/3)
4 CVE-2020-11899 5.4 IPv6の処理において、範囲外読み取りがあります。 6.0.1.66
(2020/3/3)
5 CVE-2020-11900 8.2 IPv4トンネリングの処理において、Double Freeがあります。 6.0.1.41
(2014/10/15)
6 CVE-2020-11901 9 DNS応答を介してリモートコードを実行できます。 6.0.1.66
(2020/3/3)
7 CVE-2020-11902 7.3 IPv6OverIPv4トンネリングの処理において、範囲外読み取りがあります。 6.0.1.66
(2020/3/3)
8 CVE-2020-11903 6.5 DHCPの処理において、範囲外読み取りがあります。 6.0.1.28
(2012/10/10)
9 CVE-2020-11904 7.3 メモリ割り当て中に整数のオーバーフローがあり、範囲外の書き込みが発生します。 6.0.1.66
(2020/3/3)
10 CVE-2020-11905 6.5 DHCPv6の処理において、範囲外読み取りがあります。 6.0.1.66
(2020/3/3)
11 CVE-2020-11906 6.3 Ethernet Link Layerの処理において、Integer Underflowがあります。 6.0.1.66
(2020/3/3)
12 CVE-2020-11907 6.3 TCPの処理において、長さパラメーターの不整合を不適切に処理します。 6.0.1.66
(2020/3/3)
13 CVE-2020-11908 4.3 DHCPの処理において、「\ 0」の終了を誤って処理します。 4.7.1.27
(2007/11/08)
14 CVE-2020-11909 5.3 IPv4の処理において、整数アンダーフローがあります。 6.0.1.66
(2020/3/3)
15 CVE-2020-11910 5.3 ICMPv4の処理において、範囲外読み取りがあります。 6.0.1.66
(2020/3/3)
16 CVE-2020-11911 5.3 ICMPv4の処理において、アクセス制御の不備があります。 6.0.1.66
(2020/3/3)
17 CVE-2020-11912 5.3 TCPの処理において、境界外読み取りがあります。 6.0.1.66
(2020/3/3)
18 CVE-2020-11913 5.3 IPv6の処理において、範囲外読み取りがあります。 6.0.1.66
(2020/3/3)
19 CVE-2020-11914 4.3 ARPの処理において、範囲外読み取りがあります。 6.0.1.66
(2020/3/3)

各ベンダーの対応状況

Ripple20の脆弱性に関して、各ベンダー製品の影響有無の特定が困難ですので、CERT/CCは、対象ベンダーのリストを公開しています。
本コラム執筆時に、脆弱性の影響を受けることが判明しているベンダーのリストと各ベンダーの公式情報のリンクを掲載します。
なお、CERT/CCのサイトに、影響を受けないベンダーや現在調査中のベンダーリストも掲載されており、今後変更の可能性がありますので、ご注意ください。

<各ベンダーの対応情報> ※ 執筆時点の情報です
ベンダー名影響を受ける脆弱性各ベンダー情報
Aruba Networks CVE-2020-11896、11898、11900、11906、11907、11911、11912、11914
Baxter US 全て
B. Braun 全て
CareStream 全て
Caterpillar 全て
Cisco 全て
Digi International 全て
Eaton 全て
Green Hills Software 全て
Hewlett Packard Enterprise 全て
HP Inc. 全て
Intel CVE-2020-11899、11900、11905
Rockwell Automation 全て
Schneider Electric 全て
Teradici CVE-2020-11896、11898、11900、11901、11902、11904、11905、11906、11907、11909、11910、11911、11912、11913、11914
Treck 全て
Xerox 全て
図研エルミック 全て

まとめ

上記を参考に、製品メーカーへの問い合わせを実施し、Ripple20の脆弱性の影響を受けるかの確認が必要です。
もし、疑いのある製品を利用している場合は、製品ベンダーの見解を確認した方が良いと考えます。
その上で、バージョンアップなどの対応を検討ください。
また、OTデバイスなど、オフィス系以外でも使われている可能性があり、バージョンアップが困難な可能性があります。
バージョンアップの対策が実施できない場合は、以下の緩和策が考えられますが、完全な対策とならないことをご認識ください。

・対象デバイスのネットワーク接続を控えたり、インターネットへ公開しない
・OTネットワークとデバイスを分離し、オフィスネットワークとは切り離す
・セキュリティセンサーなどを導入し、セキュリティ監視を実施したり、防御ルールを適用する

Ripple20の様に、製品で利用しているコンポーネントが影響を受ける場合、サプライチェーンの関係性を調査することが困難な状況になっております。
問い合わせ先の一覧を作成することや、可能なら資産台帳などに、コンポーネント一覧を調査した上で、サプライチェーンのつながりを整理しておく必要性があると考えられます。

著者プロフィール
西井 晃

2012年、京セラコミュニケーションシステム 入社
データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。
現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。
KCCS-CSIRTの活動に参加し、世界平和を目指す。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ