Check Pointなど多数のベンダーのセキュリティ製品にCSRF脆弱性

Calyptix Securityによると、Check Pointの「Safe@Office」に見つかった脆弱性は、ほかにも多数のベンダーの製品に存在するという。

» 2007年06月27日 11時56分 公開
[ITmedia]

 セキュリティ企業の米Calyptix Securityは6月26日、Check Pointのセキュリティ製品に見つかった脆弱性についてアドバイザリーを公開した。ほかにも多数のベンダーの製品に同じ脆弱性があるが、今のところアップデートが提供されているのはCheck Pointのみだと指摘している。

 アドバイザリーによると、ファイアウォールやVPN機能を提供するCheck PointのUTMアプライアンス「Safe@Office」に、「クロスサイトリクエストフォージェリ」(Cross Site Request Forgeries:CSRF)の脆弱性が存在する。最新バージョンの7.0.39xと、旧バージョンの5.0.82xで問題が確認されたという。

 Calyptixの危険度評価は「中程度」。ユーザーがCheck Point製品にログインしている状態で不正サイトを参照すると、攻撃者がWebインタフェース上でコマンドを実行することが可能になり、リモートからアクセスされる恐れもある。さらに、ログインしたユーザーが現在のパスワードを知らなくても、管理用パスワードを変更することができてしまう脆弱性もあるという。

 Check PointはSafe@Officeのファームウェアアップデートでこの問題に対処した。しかしCalyptixによれば、Safe@Office以外にも多数のベンダーの製品に脆弱性が存在するといい、現在同社から連絡しているところだとという。

 Calyptixはリスク低減のためのアドバイスとして、ファイアウォールの管理を行う場合は1つのブラウザでその管理インタフェースだけを開き、同じブラウザで複数のウィンドウやタブを使ってほかのサイトを閲覧しないこと、使っていない時はWebインタフェースからログアウトすることなどを挙げている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ