JVNVU#435052
透過型プロキシサーバが HTTP の Host ヘッダに依存して接続を行う問題

HTTP の Host ヘッダの値をもとに接続先の中継を行う透過型プロキシサーバは攻撃者によって悪用される可能性があります。

• 透過型プロキシサーバ

HTTP の Host ヘッダは RFC 2616 にて規定されており、主にウェブサーバ上にある複数のウェブサイトが一つの IP アドレスの共有を可能にするために使用されます。

透過型プロキシサーバはブラウザの設定に関わらず、ネットワーク接続の中継を行います。透過型プロキシサーバの中には Host ヘッダの値をもとに接続先を決定するものがあります。Flash や Java などのブラウザプラグインでは、ブラウザ上で実行される動的コンテンツによる通信を、そのコンテンツが置いてあったサイトやドメインへの通信のみに制限しています。攻撃者は動的コンテンツを利用し、HTTP Host ヘッダの値を細工することができます。プロキシサーバが接続先を Host ヘッダの値をもとに決定する場合、攻撃者は Host ヘッダを細工することで任意のサイトへの接続が可能となります。

攻撃者はユーザを悪意ある動的コンテンツが存在するサイトへ誘導または信頼できると思われるサイトに悪意ある動的コンテンツを埋め込むことで攻撃を行います。本問題は透過型プロキシサーバのみに影響があります。なお、ブラウザの Same Origin Policy により、攻撃者による認証情報 (cookie など) の再利用は不可能と考えられます。

攻撃者はプロキシから接続可能なウェブサイトやリソースへアクセスする可能性があります。これらのサイトにはイントラネット上にある内部リソースも含まれることがあります。

アップデートする
ベンダが本問題に対応するアップデートを提供している場合、それを適用してください。

ワークアラウンドを実施する
アップデートまでの回避策として、以下のワークアラウンドを実施することで本問題の影響を軽減することができます。

'プロキシサーバの管理者向けのワークアラウンド'

• 内部サービスに対して認証機能を使用する。
  
• 内部サーバとプロキシサーバ間で直接アクセスできないように制御をする。
  
• CONNECT method で許可するポート番号を必要最小限にする。 (通常は443/tcp)
  
• プロキシサーバからの不要な接続をルータやスイッチのアクセスコントロールリストを使い、拒否する。 (80/tcp と 443/tcp 以外を拒否するなど)

'ユーザ向けのワークアラウンド'
本問題を利用するには攻撃者は動的コンテンツ (Java, Flash, Silverlight など) をユーザのウェブブラウザ上で実行する必要があります。Mozilla Firefox のユーザは NoScript プラグインなどを利用し、動的コンテンツを実行するサイトを制限することを推奨します。ブラウザの設定については Securing Your Web Browser を参照してください。

'プロキシサーバベンダ向けのワークアラウンド'

• デフォルト設定において、限定された well known ポートへの接続のみを許可する。
• Connect method は宛先ポートが 443/tcp の場合にのみ許可する。 (TCP tunnel として設定されている場合は除く)