脆弱性管理という文脈における
「ソフトウェア製品の把握」の難しさ
管理方法
2020.3.18
脆弱性の管理を行うにあたって、自社のシステムで使用しているソフトウェア製品を把握するということ(ソフトウェア資産管理)は基本であり、非常に重要です。 Linux/Unix などのサーバ環境では使用しているソフトウェア製品のリストを作成すること自体に難しさがありますが、脆弱性という他の情報とのマッチングを行うという観点においても独特の難しさがあります。
ここでは CVE-2019-19781、Citrix ADC 製品(ネットワーキング製品)などに存在した脆弱性を例にソフトウェア製品名の取り扱いの難しさについて説明します。 CVE-2019-19781 は複数の製品に影響する脆弱性ですが、説明を簡易化するために、Citrix ADC 製品のみを抜き出します。
なお CPE とは、Common Platform Enumeration (共通プラットフォーム一覧) のことで、ソフトウェアやハードウェアを識別するための命名体系です。 NVD が定義したものは Official Common Platform Enumeration (CPE) Dictionary として公開されています。
CVE-2019-19781 の概要
CVE-2019-19781 は、2019年12月18日に公表された Citrix ADC 製品などに存在する脆弱性で、インターネット経由でシステムの制御を奪われる可能性のあるものです。
脆弱性の公表時には、対処を行うための更新プログラムやパッチ、回避方法が存在せず、年明けの2020年に入ってから更新プログラムの提供より先に攻撃が始まりました。
Citrix 社においては、Support Knowledge Center の記事 CTX267027 で情報公開を行っています。
CVE-2019-19781 の影響を受ける製品 - Citrix
Citrix 社は2019年12月に CVE-2019-19781 の影響を受ける製品として次の Citrix ADC 製品のバージョンを提示しました。
- Citrix ADC 13.0
- Citrix ADC 12.1
- Citrix ADC 12.0
- Citrix ADC 11.1
- Citrix NetScaler ADC 10.5
2019年12月時点の Citrix アドバイザリ (archive.org)
- Citrix ADC and Citrix Gateway version 13.0 all supported builds
- Citrix ADC and NetScaler Gateway version 12.1 all supported builds
- Citrix ADC and NetScaler Gateway version 12.0 all supported builds
- Citrix ADC and NetScaler Gateway version 11.1 all supported builds
- Citrix NetScaler ADC and NetScaler Gateway version 10.5 all supported builds
なお Citrix としての製品名の扱いに誤りがあったためか、2020年3月現在は、次の Citrix ADC 製品がアドバイザリに記載されています。
- Citrix ADC 13.0
- NetScaler ADC 12.1
- NetScaler ADC 12.0
- NetScaler ADC 11.1
- NetScaler ADC 10.5
2019年12月時点の Citrix アドバイザリ (archive.today)
- Citrix ADC and Citrix Gateway version 13.0 all supported builds before 13.0.47.24
- NetScaler ADC and NetScaler Gateway version 12.1 all supported builds before 12.1.55.18
- NetScaler ADC and NetScaler Gateway version 12.0 all supported builds before 12.0.63.13
- NetScaler ADC and NetScaler Gateway version 11.1 all supported builds before 11.1.63.15
- NetScaler ADC and NetScaler Gateway version 10.5 all supported builds before 10.5.70.12
- Citrix SD-WAN WANOP appliance models 4000-WO, 4100-WO, 5000-WO, and 5100-WO all supported software release builds before 10.2.6b and 11.0.3b
CVE-2019-19781 の影響を受ける製品 - NVD
NVD は、Citrix のアドバイザリ CTX267027 の内容を受け、CVE-2019-19781 の影響を受ける製品として、次の Citrix ADC 製品を CPE で提示しています。
- Citrix Application Delivery Controller (ADC) Firmware 13.0
- Citrix Application Delivery Controller (ADC) Firmware 12.1
- Citrix Application Delivery Controller (ADC) Firmware 12.0
- Citrix Application Delivery Controller (ADC) Firmware 11.1
- Citrix Application Delivery Controller (ADC) Firmware 10.5
2020年3月時点における NVD の CPE エントリ CVE-2019-19781
- o:citrix:application_delivery_controller_firmware:13.0:*:*:*:*:*:*:*
- o:citrix:application_delivery_controller_firmware:12.1:*:*:*:*:*:*:*
- o:citrix:application_delivery_controller_firmware:12.0:*:*:*:*:*:*:*
- o:citrix:application_delivery_controller_firmware:11.1:*:*:*:*:*:*:*
- o:citrix:application_delivery_controller_firmware:10.5:*:*:*:*:*:*:*
製品名の混乱による問題 - Citrix の場合
Citrix ADC (Application Delivery Controller) 製品は、2018年8月頃に Citrix NetScaler ADC から Citrix ADC へ製品名が変更されています。 Citrix NetScaler ADC 12.1 のリリース直後に変更されたためか、Citrix の Web ページにおいても Citrix NetScaler ADC と Citrix ADC の記載がバラバラです。
Citrix ADC のダウンロードページ は、12.1 までが Citrix NetScaler ADC と記載されていますが、Citrix ADC のリリース日のページ では、12.1 から Citrix ADC となっています。
マッチングの際に起こる問題 - NVD 更新の対象となっていない
2020年3月現在、CVE-2019-19781 の脆弱性は、NVD において、Citrix NetScaler ADC の問題として識別されていません。
このため、ユーザが Citrix NetScaler ADC 12.0 を使用しているとした場合に、適切な脆弱性のマッチングを行うことができず、脆弱性の検出に失敗します。
マッチングの際に起こる問題 - 製品名の変更
脆弱性情報全般の問題として、脆弱性情報が公表されるまで脆弱性情報として使用される製品名を確定することができない問題があります。
Citrix ADC 製品でいうと Citrix NetScaler ADC 12.1 と Citrix ADC 12.1 のどちらが適切な製品名かはっきりとしません。(特にバージョン 12.1 は名称の切り替えタイミングに重なっているため、あいまいです) Citrix は、脆弱性に影響する製品の製品名を公開後に修正するということを行いましたが、Citrix NetScaler ADC 12.1 のように、Citrix ADC と Citrix NetScaler ADC のどちらの製品名でもおかしくないようなことは、それほど珍しくはありません。
また使用するソフトウェア製品の管理として SNMP の sysDescr の値を使用している場合、Citrix ADC 12.1 や 13.0 も Citrix NetScaler と見えて、Citrix NetScaler ADC や Citrix ADC とは見えません。
SNMP sysDescr の出力サンプル:
NetScaler NS13.0: Build 36.27.nc, Date: May 13 2019, 11:35:58 (64-bit)
このような場合、どこかで実際に使用しているソフトウェアの製品名を統一しないと、脆弱性情報を見落とすことになります。
NVD の脆弱性に付属する CPE の情報は、製品名の正規化といった処理を行わないため、脆弱性の公表時の製品名がそのまま登録されます。 これはメリットが無い訳ではないのですが、製品名 (CPE) による脆弱性のマッチングという観点においては、確実にマイナスとなります。すなわち、CPE により全てのソフトウェア製品名の同定を行えるといった神格化した考え方は、危険です。
あなたの組織で脆弱性対策されていることを確認できますか? 弊社の継続的脆弱性管理ツール SIDfm VM は、管理対象のホストで使用するソフトウェアで新しく報告された脆弱性のピックアップを行い、影響判定や対策工程の把握まで、脆弱性管理をトータルでカバーいたします。
脆弱性の調査やパッチ探しは一切不要!
脆弱性対策を自動化できるので工数大幅削減!
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる!
それらを全て実現するサービスがあります。
脆弱性管理ツール「SIDfm VM」について詳しくはこちらから