狙われやすい?サポートが終了したソフトウェアを使い続けるリスク
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」1月23日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・改めてCSRFとは?見つかるとどんな危険があるのか
・サポートが終わっている製品に対しての方が攻撃者に狙われやすい?
今回の解説ニュース
ネットワークカメラに脆弱性が発見されたということです。発見された脆弱性の詳細や、サポートが終了したソフトウェアを使い続けるリスクについて説明します。
今回の脆弱性は、三洋電機株式会社が提供する複数のCCTVネットワークカメラにクロスサイトリクエストフォージェリ、略してCSRFが発見されました。悪用されると、遠隔の第三者によって、当該製品に対するHTTPリクエストを通じて管理者権限でパスワード変更などをされる可能性があります。対象となる機器の詳細は、CVE番号「CVE-2022-4621」で検索してください。
なお、本件の発見者によって、本脆弱性の検証コードが公開されています。また、開発者によると当該製品のサポートは2019年で終了しているため、本脆弱性に対する修正は提供されないということです。
改めてCSRFとは?見つかるとどんな危険があるのか
発見されたネットワークカメラのCSRFについて、公開されている検証コードからわかる内容について説明します。
まず、CSRFとはクロスサイトリクエストフォージェリの略で、Webアプリケーションに存在する脆弱性です。ログイン済みユーザからのリクエストが意図したものであるかシステム側で識別する仕組みがないことで、攻撃者の誘導により予期しない処理が実行される可能性があります。
例えば、Aさんがコンビニで買い物をする際は、店に入って、商品をかごに入れて、レジで会計をすると思います。もし、たまたまコンビニにいたBさんが、別の商品をAさんのかごに入れたら、Aさんがかごの中身をしっかり確認していないと、そのままいらない商品を含めてお会計をしてしまうかもしれません。
CSRFも同様で、ログインした利用者の意図したリクエストであるかどうかを識別する仕組みを持たないWebサイトは、攻撃者の誘導によるリクエストを受け入れてしまう場合があります。本脆弱性の発見者により公開されている検証コードを読み解いてみると、ログイン済みの管理者が攻撃者の用意した罠ページにアクセスすると、管理者のパスワードを変更したり、ネットワークカメラにアクセスするための認証自体をオフにしたりすることができるようです。
また、ネットワークカメラの管理者や一般ユーザを含めて、デフォルトのパスワードが推測可能なものであることについても、検証コードの中で触れられています。
その他のトピック