厄介な問題:長年放置されていた脆弱性が明るみに

SSLにおいて、仲介者攻撃(MITM)を可能にする脆弱性が発見されました。この脆弱性を悪用すれば、暗号化トラフィックを取得して平文(セッションCookieなど)を復元できるので、たとえばユーザの銀行取引セッションをハイジャックして振り込みを行うなどの攻撃が可能になります。

CVE-2014-3566(CVE ID)が割り当てられたこの脆弱性は、POODLE(Padding Oracle On Downgraded Legacy Encryption)と呼ばれています。攻撃者は、プロトコルバージョンレベルをダウングレードする「機能」を悪用し、セキュリティレベルの低い古いバージョン(この場合はSSL 3.0)を強制的に使用させます。

SSLv3の後継プロトコルであるTLS 1.0が1999年に登場してから、ほぼ15年が経過しています。TLS 1.0は1999年以来広く普及していますが、Windows XPのIE6など、一部の古いブラウザではデフォルトで無効化されています。したがって、このようなブラウザが主な攻撃対象となっています。

脆弱性の詳細については、さまざまなオンラインメディアで解説されているので、ここでは取り上げません。

異種混在のプラットフォーム上でさまざまなHTTPSサービスを実行している場合、ベンダの対応時間やユーザの変更管理プロセスによっては、パッチの適用までにかなり時間がかかることがあります。簡単に悪用できる脆弱性がインターネットに拡散し始めている状況では、パッチ適用にかかる時間が長くなるほどリスクも増大します。

有効な解決策

Barracuda Web Application Firewallを活用すれば、一括編集機能によって、すべてのHTTPSサービスをあっという間に保護できます。また、グラフィカルUIを使って、SSLプロトコルと暗号方式をきめ細かく制御することが可能です。構成ファイルやコマンドラインなど、複雑な設定は必要ありません。

まず、[基本設定]>[サービス]ページにアクセスします。[サービス名]の左にあるチェックボックスで、HTTPSサービスをすべて選択します。[その他のアクション]ドロップダウンリストで[編集]をクリックします。すべてのサービスでSSL v3を無効にするオプションが表示されます。

サービスを1つだけ編集している場合、次のような画面が表示されます。サービスの一括編集は、その下のような画面が表示されます。

次に、変更内容を保存します。これで、すべてのHTTPSサービスでSSL v3要求は拒否され、脆弱性は軽減されます。

ほとんどの管理者は、かなり前にIE6から別のバージョンへと移行していると考えられるので、この脆弱性が製品の管理UIに与える影響は比較的小さいでしょう。したがって、製品管理に最新のWebブラウザを使用している限り、リスクはありません。

バラクーダネットワークスは今後もこの脆弱性に注目し、ブログや以下のフォーラムで最新情報を掲載する予定です。

https://community.barracudanetworks.com/forums.php?url=/forum/261-barracuda-web-application-firewall/

フォーラムにまだ参加していない方は、是非ご参加ください。

※本内容はBarracuda Product Blog 2014年10月18日Immediate Patching of your Internet-facing Web Services Against POODLEを翻訳したものです。

Neeraj Khandelwal

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』11月27日付の記事の転載です。