公開日:2016/09/29 最終更新日:2016/09/29

JVNVU#90976810
Aternity に複数の脆弱性

概要

Aternity には、複数のページにおけるクロスサイトスクリプティングの脆弱性と、実行前の認証不備に起因してデフォルト設定で信頼できない機能を含めてしまう遠隔コード実行の脆弱性が存在すると報告されています。

影響を受けるシステム

  • Aternity version 9 およびそれ以前

詳細情報

クロスサイトスクリプティング (CWE-80) - CVE-2016-5061
報告者によると、Aternity の HTTPAgent, MacAgent, getExternalURL, redrieveTrustedUrl ページにはクロスサイトスクリプティングの脆弱性が存在します。悪意あるスクリプトを使用することで、攻撃者は任意の Cookie やセッショントークン、またブラウザや Aternity で使用される機密情報を取得することが可能です。

信頼できないソースからの機能登録 (CWE-829) - CVE-2016-5062
報告者によると、Aternity の JMX RMI サービスには設定不備があり、適切な認証なしで getMBeansFromURL を使用して遠隔から Java の MBean を実行可能な脆弱性が存在します。遠隔の攻撃者はこの設定不備を使用して、システムコマンドの実行を含む Java の MBean をサービスに登録させ、SYSTEM 権限で実行することが可能です。

Aternity はこの脆弱性の実行を防ぐためにファイアウォールを設定するよう推奨しているため、本脆弱性の影響を直接受けるのは正しくファイアウォールが設定されていないサーバのみです。

Oracle は、何度か脆弱な設定に関するドキュメントを公開しています。ドキュメントには次のように記載されています:

"To disable both password authentication and SSL (namely to disable all security), you should set the following system properties when you start the Java VM.
パスワード認証と SSL の両方 (つまり全てのセキュリティ) を無効にするには、Java VM の起動時にシステムプロパティを次のように設定する必要があります。
 
com.sun.management.jmxremote.authenticate=false
com.sun.management.jmxremote.ssl=false

Caution - This configuration is insecure: any remote user who knows (or guesses) your port number and host name will be able to monitor and control your Java applications and platform. Furthermore, possible harm is not limited to the operations you define in your MBeans. A remote client could create a javax.management.loading.MLet MBean and use it to create new MBeans from arbitrary URLs, at least if there is no security manager. In other words, a rogue remote client could make your Java application execute arbitrary code.
注意 - この設定は安全ではありません: ホスト名とポート番号を知る (または推測可能な) すべての遠隔のユーザが、Java アプリケーションや Java プラットフォームを監視・制御することができるようになります。さらに、被害の影響はあなた自身の MBean で定義する操作に留まるものではありません。セキュリティが存在しなければ、攻撃者は javax.management.loading.MLet の MBean を作成し、そこから任意の URL を使用した新たな MBean を作成することが可能です。言い換えると、遠隔の攻撃者が Java アプリケーション経由で任意のコードを実行することが可能です。

Consequently, while disabling security might be acceptable for development, it is strongly recommended that you do not disable security for production systems.
結論として、セキュリティを無効にすることが開発に便利であったとしても、システムのセキュリティを無効にしないことを強く推奨します。"
Aternity version 9 およびそれ以前が本脆弱性の影響を受けると考えられていますが、CERT/CC では影響を受けるバージョンについて開発者の確認を得られていません。

想定される影響

遠隔の第三者によって、任意の Cookie やセッショントークン、またブラウザや Aternity で使用される機密情報を取得されたり、SYSTEM 権限で任意のコードを実行されたりする可能性があります。

対策方法

2016年9月29日現在、対策方法は不明です。

ワークアラウンドを実施する
本脆弱性の影響を回避するため、次のワークアラウンドを実施してください。

  • 14777 番ポートへのアクセスを制限する

参考情報

  1. CERT/CC Vulnerability Note VU#706359
    Aternity version 9 vulnerable to cross-site scripting and remote code execution

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 8.1
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:M/Au:N/C:C/I:C/A:C
基本値: 9.3
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

この CVSS は CVE-2016-5062 を 評価したものです。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-5061
CVE-2016-5062
JVN iPedia