「ネット経由でUSBデバイスに接続」のSDKに脆弱性 影響範囲は?「USB over Ethernet」の脆弱性

ネットワーク経由でUSBデバイスに接続できるようにする「USB over Ethernet」を実現するSDKに、権限昇格を可能にする脆弱性が見つかった。どのような危険性があるのか。

2022年01月24日 05時00分 公開
[Shaun NicholsTechTarget]

 Amazon Web Services(AWS)など複数の大手クラウドベンダーが利用しているSDK(ソフトウェア開発キット)に、20件以上の脆弱(ぜいじゃく)性が見つかった。セキュリティベンダーSentinelOneの研究者によると、攻撃者がこの脆弱性を悪用すれば、ユーザーアカウントの権限を不正に昇格させることができる。

 これらの脆弱性は、ソフトウェアベンダーEltima IBC(Eltima Softwareの名称で事業展開)が提供するSDKに存在する。同社のSDKは、ネットワーク経由でUSBデバイスを使用する「USB over Ethernet」を実現できるようにするものだ。これによりネットワーク経由で、LANに接続したWebカメラなどのUSBデバイスを、LAN外にあるPCと接続できる。

「USB over Ethernet」脆弱性の影響を無視できない“あの理由”とは

会員登録(無料)が必要です

 USB over Ethernetに関する脆弱性は甚大な影響をもたらす可能性がある。新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)により、企業はテレワーカーが仮想デスクトップを使って業務できるようシステム整備を進めている。テレワーカーの自宅など業務場所のPCに接続したUSBデバイスと、遠隔地にある社内サーバを接続できるようにすることは、テレワークにおいて重要だ。

 SentinelOneの研究者が発見した脆弱性は27件ある。その脆弱性によって「Amazon WorkSpaces」「NoMachine」といった仮想デスクトップサービス(DaaS:Desktop as a Service)、「Accops Digital Workspace」といったデジタルワークスペース製品などが影響を受ける。「当社は一部のベンダーの製品だけをテストしたが、同じSDKを利用している他ベンダーの製品も脆弱な状態にある可能性が高い」とSentinelOneは警告する。

 攻撃者はユーザーアカウントの認証情報を入手して乗っ取り、Eltima IBCのSDKの脆弱性を悪用すれば、そのユーザーアカウントの通常の権限よりも高い権限を取得することが可能になる。侵入したシステムでの権限昇格をきっかけにして、攻撃者が同一LAN内の他のシステムを制御下に置く危険性もある。標的企業の社内LANに侵入した攻撃者が、パッチ未適用のシステムでマルウェアを実行し、この脆弱性を悪用してより高い権限を不正に取得することにも注意が必要だ。

 SentinelOneのシニアセキュリティリサーチャーであるカシフ・デケル氏は、今回見つかった重大な脆弱性によって、システムの正規ユーザーであっても、自身のユーザーアカウントの権限を昇格させて、カーネルモード(制限なくコンピュータの機能を利用できるモード)でプログラムを実行できるようになる可能性を指摘する。

 脆弱性の影響を受けることが判明しているベンダー各社は、SentinelOneの報告を受けて脆弱性の開示とパッチの適用を実施した。2021年12月時点で、この脆弱性が実際に悪用されたという報告はない。

 デケル氏は、SDKに脆弱性が存在すると、そのSDKを使用した製品にとどまらず、さらに広範囲に及ぶ可能性があると警告する。例えばあるベンダーが、サードパーティーのSDKを利用して製品を開発し、そのSDKに脆弱性が存在する場合だ。「それらの製品に、サードパーティーのSDKに存在する脆弱性が影響すると、その危険はさらに大きくなる」と同氏は指摘する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 ゾーホージャパン株式会社

システムに侵入され深刻な被害も、サービスアカウントの不正利用をどう防ぐ?

サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。

製品資料 ゾーホージャパン株式会社

“人間ではない”サービスアカウントに潜む、3つのセキュリティリスクとは?

サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。

製品資料 Splunk Services Japan合同会社

デジタル決済の普及で金融犯罪や不正行為が急増、被害を防ぐために必要なものは

eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。

製品資料 Splunk Services Japan合同会社

金融犯罪を未然に防止、システムが複雑化する中で取るべき対策とその実装方法

金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。

製品資料 グーグル合同会社

ゼロトラストセキュリティのハードルを下げる、“ブラウザ”ベースという視点

クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

news040.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。