2016/08/18

Equation Group からのツール流出に対するウォッチガードの見解

2016 年 8 月 18 日

要点:ウォッチガードによる徹底調査により、現在サポート中または最近サポート終了になったいずれの製品についても、2016 年 8 月 13 日にシャドーブローカー(The Shadow Brokers)と名乗るハッカー集団が公開したいずれのエクスプロイトに対する脆弱性も存在しないことが確認されました。

シャドーブローカーと名乗るハッカー集団が 8 月 13 日に、NSA が支援するグループのサーバーをハッキングし、同グループのすべてのエクスプロイトツールをダンプすることに成功したと発表しました。ツールの大半はオークションにかけられましたが、ダンプの証拠として、いくつかのツールが公開されました。流出したとされるツールの 1 つがウォッチガード製品を標的としている可能性があるという警告を受け、ウォッチガードはただちに調査を開始しました。

現在公開されているツールの分析によって、RapidStream アプライアンスを標的していることが疑われる、ESCALATEPLOWMAN という名前の一連の Python スクリプトが見つかりました。ウォッチガードは 2002年に RapidStream を買収していますが、調査の結果、ウォッチガードは、現行のウォッチガードアプライアンスがこの ESCALATEPLOWMAN という Python スクリプトの標的にならないことを確認しました。

実際には、ESCALATEPLOWMAN Python スクリプトそのものがエクスプロイトであるわけではありません。このスクリプトは、CLI コマンドを生成する目的で使用されるものですが、実際の攻撃では、これをさらに標的システムの CLI にコピーし、実行する必要があります。生成された CLI コマンドは、標的システムでのデバッグレベルの CLI コマンド「ifconfig」の処理のコマンドインジェクション脆弱性を悪用します。具体的には、挿入されたコマンドが標的システム対し、リモートの場所からファイルをダウンロードし、実行するように指示します。さらには、ダウンロードしたアプリケーションのコールホームアドレスと思われる環境変数を標的システムで設定しており、これは、バックドアを開けるためであると考えられます。ESCALATEPLOWMAN スクリプトによって、攻撃者がダウンロードとコールホームのアドレスを構成でき、CLI コマンドの生成時に、FTP、TFTP、または HTTPのいずれを経由してバックドアアプリケーションをダウンロードするかも選択できるようになります。

このエクスプロイト CLI コマンドは、特定のツール(TFTPクライアントなど)が標的のオペレーティングシステムの決まった場所に存在することを前提としています。ウォッチガードアプライアンスの場合、これらの必要とされるツールが格納される場所が、古い RapidStream アプライアンスとは異なります。

さらには、エクスプロイトそのもの、すなわち、「ifconfig」コマンドのコマンドインジェクション脆弱性が、現行のウォッチガードアプライアンスの CLI には存在しません。「ifconfig」は、ウォッチガードの CLI が受け付けないコマンドです。何人かの外部の研究者が、「arp」であれば CLI コマンドとして受け付けられるし、RapidStream アプライアンスには以前に「arp」デバッグコマンドに関連するコマンドインジェクション脆弱性が存在していた、と指摘しましたが、この RapidStream の脆弱性は、現在のウォッチガードアプライアンスには継承されていません。また、ウォッチガード CLI は、「arp」コマンドをサニタイズし、さらに、使用できるサブコマンドは「flush」だけです。

以上のとおり、ウォッチガードは、現在サポート中または最近サポート終了になったいずれのアプライアンスにも、シャドーブローカーのエクスプロイトダンプで公開された EXCALATEPLOWMAN Python スクリプトに対する脆弱性が存在しないことを確認しています。

敬具
WatchGuard Technologies, Inc. 製品管理担当バイスプレジデント
Andrew Young