#SIDfm

脆弱性の管理と対策に纏わる話

  • 脆弱性情報 /
  • 脆弱性の管理の方法、プロセスの自動化 /
  • パッチ対応の自動化、SOAR

脆弱性管理という文脈における
「ソフトウェア製品の把握」の難しさ

管理方法

2020.3.18

脆弱性の管理を行うにあたって、自社のシステムで使用しているソフトウェア製品を把握するということ(ソフトウェア資産管理)は基本であり、非常に重要です。 Linux/Unix などのサーバ環境では使用しているソフトウェア製品のリストを作成すること自体に難しさがありますが、脆弱性という他の情報とのマッチングを行うという観点においても独特の難しさがあります

ここでは CVE-2019-19781、Citrix ADC 製品(ネットワーキング製品)などに存在した脆弱性を例にソフトウェア製品名の取り扱いの難しさについて説明します。 CVE-2019-19781 は複数の製品に影響する脆弱性ですが、説明を簡易化するために、Citrix ADC 製品のみを抜き出します。

なお CPE とは、Common Platform Enumeration (共通プラットフォーム一覧) のことで、ソフトウェアやハードウェアを識別するための命名体系です。 NVD が定義したものは Official Common Platform Enumeration (CPE) Dictionary として公開されています。

CVE-2019-19781 の概要

CVE-2019-19781 は、2019年12月18日に公表された Citrix ADC 製品などに存在する脆弱性で、インターネット経由でシステムの制御を奪われる可能性のあるものです。

脆弱性の公表時には、対処を行うための更新プログラムやパッチ、回避方法が存在せず、年明けの2020年に入ってから更新プログラムの提供より先に攻撃が始まりました。

Citrix 社においては、Support Knowledge Center の記事 CTX267027 で情報公開を行っています。

CVE-2019-19781 の影響を受ける製品 - Citrix

Citrix 社は2019年12月に CVE-2019-19781 の影響を受ける製品として次の Citrix ADC 製品のバージョンを提示しました。

  • Citrix ADC 13.0
  • Citrix ADC 12.1
  • Citrix ADC 12.0
  • Citrix ADC 11.1
  • Citrix NetScaler ADC 10.5

2019年12月時点の Citrix アドバイザリ (archive.org)
Citrix アドバイザリ CTX267027 キャプチャ

  • Citrix ADC and Citrix Gateway version 13.0 all supported builds
  • Citrix ADC and NetScaler Gateway version 12.1 all supported builds
  • Citrix ADC and NetScaler Gateway version 12.0 all supported builds
  • Citrix ADC and NetScaler Gateway version 11.1 all supported builds
  • Citrix NetScaler ADC and NetScaler Gateway version 10.5 all supported builds

なお Citrix としての製品名の扱いに誤りがあったためか、2020年3月現在は、次の Citrix ADC 製品がアドバイザリに記載されています。

  • Citrix ADC 13.0
  • NetScaler ADC 12.1
  • NetScaler ADC 12.0
  • NetScaler ADC 11.1
  • NetScaler ADC 10.5

2019年12月時点の Citrix アドバイザリ (archive.today)

  • Citrix ADC and Citrix Gateway version 13.0 all supported builds before 13.0.47.24
  • NetScaler ADC and NetScaler Gateway version 12.1 all supported builds before 12.1.55.18
  • NetScaler ADC and NetScaler Gateway version 12.0 all supported builds before 12.0.63.13
  • NetScaler ADC and NetScaler Gateway version 11.1 all supported builds before 11.1.63.15
  • NetScaler ADC and NetScaler Gateway version 10.5 all supported builds before 10.5.70.12
  • Citrix SD-WAN WANOP appliance models 4000-WO, 4100-WO, 5000-WO, and 5100-WO all supported software release builds before 10.2.6b and 11.0.3b

CVE-2019-19781 の影響を受ける製品 - NVD

NVD は、Citrix のアドバイザリ CTX267027 の内容を受け、CVE-2019-19781 の影響を受ける製品として、次の Citrix ADC 製品を CPE で提示しています。

  • Citrix Application Delivery Controller (ADC) Firmware 13.0
  • Citrix Application Delivery Controller (ADC) Firmware 12.1
  • Citrix Application Delivery Controller (ADC) Firmware 12.0
  • Citrix Application Delivery Controller (ADC) Firmware 11.1
  • Citrix Application Delivery Controller (ADC) Firmware 10.5

2020年3月時点における NVD の CPE エントリ CVE-2019-19781

  • o:citrix:application_delivery_controller_firmware:13.0:*:*:*:*:*:*:*
  • o:citrix:application_delivery_controller_firmware:12.1:*:*:*:*:*:*:*
  • o:citrix:application_delivery_controller_firmware:12.0:*:*:*:*:*:*:*
  • o:citrix:application_delivery_controller_firmware:11.1:*:*:*:*:*:*:*
  • o:citrix:application_delivery_controller_firmware:10.5:*:*:*:*:*:*:*

製品名の混乱による問題 - Citrix の場合

Citrix ADC (Application Delivery Controller) 製品は、2018年8月頃に Citrix NetScaler ADC から Citrix ADC へ製品名が変更されています。 Citrix NetScaler ADC 12.1 のリリース直後に変更されたためか、Citrix の Web ページにおいても Citrix NetScaler ADC と Citrix ADC の記載がバラバラです。

Example

Citrix ADC のダウンロードページ は、12.1 までが Citrix NetScaler ADC と記載されていますが、Citrix ADC のリリース日のページ では、12.1 から Citrix ADC となっています。

マッチングの際に起こる問題 - NVD 更新の対象となっていない

2020年3月現在、CVE-2019-19781 の脆弱性は、NVD において、Citrix NetScaler ADC の問題として識別されていません。

このため、ユーザが Citrix NetScaler ADC 12.0 を使用しているとした場合に、適切な脆弱性のマッチングを行うことができず、脆弱性の検出に失敗します。
CPEによるマッチング

マッチングの際に起こる問題 - 製品名の変更

脆弱性情報全般の問題として、脆弱性情報が公表されるまで脆弱性情報として使用される製品名を確定することができない問題があります。

Example

Citrix ADC 製品でいうと Citrix NetScaler ADC 12.1 と Citrix ADC 12.1 のどちらが適切な製品名かはっきりとしません。(特にバージョン 12.1 は名称の切り替えタイミングに重なっているため、あいまいです) Citrix は、脆弱性に影響する製品の製品名を公開後に修正するということを行いましたが、Citrix NetScaler ADC 12.1 のように、Citrix ADC と Citrix NetScaler ADC のどちらの製品名でもおかしくないようなことは、それほど珍しくはありません。

Example

また使用するソフトウェア製品の管理として SNMP の sysDescr の値を使用している場合、Citrix ADC 12.1 や 13.0 も Citrix NetScaler と見えて、Citrix NetScaler ADC や Citrix ADC とは見えません。
SNMP sysDescr の出力サンプル:
NetScaler NS13.0: Build 36.27.nc, Date: May 13 2019, 11:35:58 (64-bit)

このような場合、どこかで実際に使用しているソフトウェアの製品名を統一しないと、脆弱性情報を見落とすことになります。

NVD の脆弱性に付属する CPE の情報は、製品名の正規化といった処理を行わないため、脆弱性の公表時の製品名がそのまま登録されます。 これはメリットが無い訳ではないのですが、製品名 (CPE) による脆弱性のマッチングという観点においては、確実にマイナスとなります。すなわち、CPE により全てのソフトウェア製品名の同定を行えるといった神格化した考え方は、危険です



脆弱性と対策のことなら

SIDfm™

  • お問い合わせ

    SIDfm™ 各種サービスの使用法や購入において気になる点などお気軽にお問い合わせ下さい。

    お問い合わせ
  • 無料でトライアル

    SIDfm™ の VM、RA、Biz を実際に無料で使ってみてください。

    無料で試してみる