【活用ガイド】

JVNDB-2015-001771

Telerik Analytics Monitor ライブラリに DLL ハイジャックが可能な脆弱性

概要

Telerik Analytics Monitor ライブラリは、アプリケーション使用に関するメトリクス情報を収集するためのアプリケーション使用解析サービスです。特定のバージョンの Telerik Analytics Monitor ライブラリには、DLL ハイジャックが可能な脆弱性が存在するため、ライブラリを実装するアプリケーションのコンテキストで任意のコードをロードさせられる可能性があります。

プロセスの制御 (CWE-114)
CWE-114: Process Control
https://cwe.mitre.org/data/definitions/114.html

Telerik Analytics Monitor ライブラリは、アプリケーションに統合する DLL として提供されています。このライブラリは、HTTPS 通信をサポートする目的で、独自にビルドした OpenSSL を含んでいます。

本脆弱性は、2014年8月3日にリリースされた Telerik Analytics Monitor ライブラリ バージョン 3.2.96 において作りこまれました。このバージョンでは、OpenSSL ライブラリが暗号化演算ハードウェアをサポートする形でビルドされており、関連する DLL を実行時にロードしようとします。具体的には、4つの DLL (sunsapi.dll、swift.dll、nfhwcrhk.dll、surewarehook.dll) をロードしようとしますが、これらは Telerik からは提供されていません。本脆弱性の影響を受ける Telerik Analytics Monitor ライブラリのファイル名は、EQATEC.Analytics.Monitor.Win32_vc100.dll (32-bit 版システム向け) と EQATEC.Analytics.Monitor.Win32_vc100-x64.dll (64-bit 版システム向け) です。

なお、National Vulnerability Database (NVD) では、CWE-426 として公開されています。

補足情報 : CWE による脆弱性タイプは、CWE-426: Untrusted Search Path (信頼性のない検索パス) と識別されています。
http://cwe.mitre.org/data/definitions/426.html
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 6.9 (警告) [NVD値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


Telerik
  • Analytics Monitor ライブラリ バージョン 3.2.96 およびそれ以降、3.2.125 より前のバージョン

これらのバージョンでは、ファイルプロパティで 3.2.x 系ではなく 1.0.0.1 と表示されます。
想定される影響

第三者によって提供された悪意ある DLL が Telerik Analytics Monitor ライブラリを実装するアプリケーションにロードされることで、アプリケーションのコンテキストで任意のコードを実行される可能性があります。Telerik Analytics Monitor ライブラリは制御システム (ICS) 等で利用されており、脆弱性が悪用された場合、第三者によって、制御システムにアクセスされる可能性があります。
対策

[アップデートする]
本脆弱性は Telerik Analytics Monitor ライブラリ バージョン 3.2.125 で対策されています。バージョン 3.2.125 以降では OpenSSL が暗号化演算ハードウェアのサポートを無効にしてビルドされており、実行時に DLL がロードされることはありません。

Telerik Analytics Monitor ライブラリ バージョン 3.2.125
http://www.telerik.com/support/whats-new/analytics/release-history/analytics-monitor-library-3.2.125

開発者は、バージョン 3.2.129 にアップデートすることを推奨しています (バージョン 3.2.125 より後で発生した問題も修正されているため)。

バージョン 3.2.129
http://www.telerik.com/support/whats-new/analytics/release-history/analytics-monitor-library-v3.2.129
ベンダ情報

Telerik
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
  2. その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2015-2264
参考情報

  1. JVN : JVNVU#98897821
  2. National Vulnerability Database (NVD) : CVE-2015-2264
  3. US-CERT Vulnerability Note : VU#794095
  4. ICS-CERT ADVISORY : ICSA-15-069-04A
更新履歴

  • [2015年03月13日]
      掲載
    [2015年03月16日]
      概要:内容を更新
      共通脆弱性識別子(CVE):CVE-ID を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2015-2264) を追加
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:CWE-ID を追加

公表日2015/03/10
登録日2015/03/13
最終更新日2015/03/16