検索
特集

Log4jの再来? CUPSの脆弱性はなぜそこまで過大評価されたのかCybersecurity Dive

UNIX系の印刷システム「CUPS」の致命的な脆弱性は、発見当初は2021年に見つかったApache Log4jの脆弱性と比較されるものと懸念されていたが、調査が進み「そこまでではない」と判断された。なぜそこまで過大評価されたのか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 オープンソースソフトウェアコミュニティーは週末に一息つくことができた。「UNIX」系の印刷システム「CUPS」の致命的な脆弱(ぜいじゃく)性に関連し、「Linux」のシステムが存亡の危機にひんするという当初の懸念が、セキュリティ研究者によって和らげられたためだ。

Log4jの再来? CUPSの脆弱性はなぜそこまで過大評価されたのか

 CUPSの脆弱性は(注1)、ユーザーが印刷を開始した際に脆弱なシステムが攻撃者に乗っ取られる可能性を持つものだった。当初は2021年に見つかった「Apache Log4j」(以下、Log4j)の脆弱性の危機と比較されたが、研究者たちはユーザーの操作が必要なことから「今回のケースはそれほど大きく懸念されるものではない」と伝えた。

 調査企業であるForresterのエリック・ノスト氏(シニアアナリスト)は、電子メールで次のように述べた。

 「著名な脆弱性はニュースに影響を与え続けているが、それによって組織が緊急対応を必要とするかどうかが決まるわけではない」

 「CVE-2024-47076」(注2)、「CVE-2024-47175」(注3)、「CVE-2024-47176」(注4)、「CVE-2024-47177」としてリストに掲載されているこれらの脆弱性を悪用することで(注5)、攻撃者はプリンタのIPPのURLを悪意のあるバージョンに置き換え、その後コマンドを実行できる可能性がある。

 セキュリティ研究者のシモーネ・マルガリテッリ氏は、以前にこれらの脆弱性を発見していたが、研究結果が十分に対応されていないことへの懸念から、公開の予定を早める決断を下した。

 公開に関する制限付きの計画がセキュリティコミュニティー内で誇張され、脆弱性の悪用リスクが過大評価された。しかしLog4jの危機と異なり、CUPSの脆弱性を悪用する際にはユーザーによる操作が必要で、攻撃者による悪用のためには複数のステップが必要だった。

 DevOpsツールチェーン向けのソリューションを提供するJFrogのヤイール・ミズラヒ氏(シニア脆弱性研究者)は、電子メールで次のように述べた。

 「研究者のレポートで強調されていないのは、プリンタをセットした後でも、悪質なコードを実行するトリガーとなるのは、ユーザーが新しく追加されたプリンタに印刷ジョブをスケジュールしたときだけだという点である」

 研究者たちは、CUPSの脆弱性の本質に対する混乱を解消するためには、公開に関する調整をより強化する必要があると指摘している。

 Open Source Security Foundation(OSSF)の技術諮問委員会の議長であるクリストファー・ロビンソン氏は、次のように述べた。

 「残念ながら、研究者が公に抱いている不満はこの種の大規模で複雑な修正においてよく見られるものだ。脆弱性がプロジェクトに共有される際、明確な期待とタイムラインをあらかじめ設定することで、このような摩擦や感情的な対立を減らす助けとなり、全員が共通の目標に向かって取り組める」

 サイバーセキュリティ事業を営むSonatypeのブライアン・フォックス氏(共同創設者兼最高技術責任者)は「CUPSに関して研究者間で大きなやりとりがあったのかもしれないが、何の防御策もなく不意を突かれるよりは準備が整っている方が良い」と話している。

 「幸いなことに、『Log4Shell』のような大規模な被害を防ぐための広範な準備は必要なかったが、少しでも準備できるか、完全に不意を突かれるかには大きな違いがある。事前に警告を受け取ることができた方が良い」(フォックス氏)

 2022年、サイバー安全審査会(CSRB)は(注6)、Log4jの悪用が直感的に恐れられていたほどの規模ではなかったことを指摘する報告書を発表した。しかし、CSRBはLog4jを「根深い脆弱性」と評しており、完全な解決には数年かかる可能性があると述べている。

(注1)A quartet of Linux CVEs draws exploit fears among open source community(Cybersecurity Dive)
(注2)CVE-2024-47076 Detail(NIST)
(注3)CVE-2024-47175 Detail(NIST)
(注4)CVE-2024-47176 Detail(NIST)
(注5)CVE-2024-47177 Detail(NIST)
(注6)Log4j is far from over, cyber review board says(Cybersecurity Dive)

© Industry Dive. All rights reserved.

ページトップに戻る