【活用ガイド】

JVNDB-2016-004370

プロキシサーバを使った通信を行うアプリケーションに中間者攻撃 (MITM) が可能な脆弱性

概要

HTTP CONNECT リクエスト と HTTP 407 Proxy Authentication Required レスポンスは平文で通信されるため、中間者攻撃 (man-in-the-middle attack) を受ける可能性があります。さらに、WebKit を使って作成されたアプリケーションは、HTTPS リクエスト送信先ドメインのコンテキストで、任意のスクリプトを実行される可能性があります。

ウェブブラウザやオペレーティングシステムからプロキシサーバを経由して HTTPS リクエストを送信する場合、最初にプロキシサーバに対して HTTP CONNECT リクエストを送信します。HTTP CONNECT リクエストやプロキシサーバからの応答メッセージは平文でやりとりされるため、中間者攻撃 (man-in-the-middle attack) を受ける可能性があります。
中間者攻撃において、プロキシサーバからの応答メッセージを改ざんして 407 Proxy Authentication Required メッセージを返すことにより、認証情報を取得される可能性があります。

さらに、WebKit を使って作成されたアプリケーションのクライアントは、プロキシサーバからの応答メッセージを HTTPS リクエスト送信先ドメインのコンテキストで処理するため、中間者攻撃によって、ウェブブラウザ上で任意のスクリプトを実行される可能性があります。

詳しくは、 FalseCONNECT のウェブサイトをご参照ください。

FalseCONNECT のウェブサイト
http://falseconnect.com/
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 5.4 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 4.3 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム

影響を受けるシステムは広範囲に及びます。
  • プロキシサーバ経由で HTTPS リクエストを行うウェブブラウザおよびオペレーティングシステム
  • WebKit を使って作成されたアプリケーション
詳しくは、JVNVU#90754453 の [ベンダ情報] または CERT/CC VU#905344 の [Vendor Information] 欄 をご参照ください。

日本電気
  • ESMPRO/ServerAgent Ver.4.4.22-1以降 (Linux版)
  • ESMPRO/ServerAgent エクスプレス通報サービス 全バージョン (Windows版)
  • ESMPRO/ServerAgentService エクスプレス通報サービス 全バージョン (Windows版)
  • ESMPRO/ServerAgentService 全バージョン (Linux版)
  • SystemDirector Enterprise
  • Express5800 SG3600全シリーズ

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

中間者攻撃 (man-in-the-middle attack) により、認証情報を取得される可能性があります。また、WebKit を使って作成されたアプリケーションの場合、任意のスクリプトが実行される可能性があります。
対策

[アップデートする]
JVNVU#90754453 の [ベンダ情報] や CERT/CC VU#905344 の [Vendor Information] 欄を参照し、開発者が提供する情報をもとに、アップデートを適用してください。

JVNVU#90754453 の [ベンダ情報]
http://jvn.jp/vu/JVNVU90754453/

CERT/CC VU#905344 の [Vendor Information] 欄
https://www.kb.cert.org/vuls/id/905344#vendors

[ワークアラウンドを実施する]
信頼できないネットワークに接続しない
公共 WiFi を含め、信頼できないネットワークに接続している場合、プロキシサーバ経由で通信するクライアントを使用しないようにしてください。

[プロキシ設定を無効にする]
Proxy auto-configuration (PAC) や Web proxy auto-discovery (WPAD) の使用が不要である場合、それらの設定を無効にしてください。
ベンダ情報

日本電気
  • NEC製品セキュリティ情報 : NV17-010
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVNVU#90754453
  2. US-CERT Vulnerability Note : VU#905344
  3. 関連文書 : 3.2. 407 Proxy Authentication Required
  4. 関連文書 : FalseCONNECT
更新履歴

  • [2016年08月17日]
      掲載
    [2017年03月09日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日本電気 (NV17-010) を追加
    [2018年02月07日]
      影響を受けるシステム:ベンダ情報 (NV17-010) の更新に伴い内容を更新

公表日2016/08/15
登録日2016/08/17
最終更新日2018/02/07