AWSや主要クラウドサービスで利用されるSDKに27件の脆弱性が発見される

by Web Summit

インターネットまたはLAN経由でUSBデバイスを共有したりアクセスしたりするためのアプリケーションである「USB over Ethernet」のソフトウェア開発キット(SDK)に、27もの脆弱性が存在することが指摘されました。脆弱性を抱えるSDKは、Amazon Web Services(AWS)を含む複数のクラウドサービスに利用されています。

USB Over Ethernet | Multiple Vulnerabilities in AWS and Other Major Cloud Services - SentinelOne
https://www.sentinelone.com/labs/usb-over-ethernet-multiple-privilege-escalation-vulnerabilities-in-aws-and-other-major-cloud-services/

27 flaws in USB-over-network SDK affect millions of cloud users
https://www.bleepingcomputer.com/news/security/27-flaws-in-usb-over-network-sdk-affect-millions-of-cloud-users/

新型コロナウイルスのパンデミックにより、全世界でリモートワーク需要が急増しました。これに伴い、企業の間ではクラウドベースの仮想デスクトップ需要が増加しており、Amazon WorkSpacesのようなクラウドデスクトップソリューションの利用が加速しています。クラウドデスクトップサービスを提供するAWSのようなクラウドプロバイダーの多くは、Eltima Softwareの提供するソフトウェア開発キット(SDK)であるEltima SDKを活用し、インターネットまたはLAN経由でUSBデバイスを共有したりアクセスしたりが可能になる「USB over Ethernet」機能を実現しています。

そんな世界中に多くの利用者を抱えるEltima SDKに、27の脆弱性が存在するとサイバーセキュリティスタートアップのSentinelOneが指摘しています。SentinelOneは「多くの企業がEltima SDKを利用しているため、世界中の何百人ものユーザーが危機にさらされている」と警告しました。

Eltima SDKに存在する脆弱性を悪用すると、リモートからクラウドデスクトップの権限を昇格し、カーネルモードでコードを実行可能になるとのこと。SentinelOneは「これらの脆弱性により、攻撃者は特権を昇格させ、セキュリティ製品を無効にしたりシステムコンポーネントを上書きしたり、オペレーティングシステムを破壊したり、悪意のある操作を妨げずに実行したりできます」と記しています。

SentinelLabsはEltima SDKの脆弱性を2021年度第2四半期にEltima Softwareに報告したとしています。SentinelLabsにより発見・報告された27の脆弱性は以下の通り。

・CVE-2021-42972
・CVE-2021-42973
・CVE-2021-42976
・CVE-2021-42977
・CVE-2021-42979
・CVE-2021-42980
・CVE-2021-42983
・CVE-2021-42986
・CVE-2021-42987
・CVE-2021-42988
・CVE-2021-42990
・CVE-2021-42993
・CVE-2021-42994
・CVE-2021-42996
・CVE-2021-43000
・CVE-2021-43002
・CVE-2021-43003
・CVE-2021-43006
・CVE-2021-43637
・CVE-2021-43638
・CVE-2021-42681
・CVE-2021-42682
・CVE-2021-42683
・CVE-2021-42685
・CVE-2021-42686
・CVE-2021-42687
・CVE-2021-42688

なお、Eltima SoftwareはすでにEltima SDKの脆弱性に対応するためのセキュリティアップデートをリリースしています。しかし、セキュリティアップデートを実行したか否かは「クラウドサービス次第」とSentinelLabsは指摘しています。

SentinelOneによると、Eltima SDKで発見された脆弱性の影響を受けるソフトウェアおよびクラウドプラットフォームは以下の通り。ただし、SentinelOneはEltima SDKを使用したすべてのソフトウェアおよびクラウドプラットフォームを把握しているわけではないため、下記以外にも脆弱性の影響を受けるツールが存在する可能性は十分にあります。

・Amazon Nimble Studio AMI(2021年7月29日以前)
・Amazon NICE DCV(Windows：2021.1.7744、Linux：2021.1.3560、Mac：2021.1.3590)
・Amazon WorkSpacesエージェント v1.0.1.1537
・Amazon AppStream v1.1.304
・NoMachine(すべてのWindows版、v4.0.346以降、v.7.7.4以前)
・HyWorks Client for Windows(v3.2.8.180以前)
・HyWorks DVM Tools for Windows(v3.3.1.102以前)
・Eltima USB Network Gate(v7.0.1370～v9.2.2420)
・Amzetta zPortal Windows zClient
・Amzetta zPortal DVM
・FlexiHub(v3.3.11481～v5.2.14094)
・Donglify(v1.0.12309～v1.7.14110)

また、ツールによってはクライアント側が脆弱であったり、別のツールはサーバー側が脆弱であったり、両方が脆弱であったりする模様。

ただし、「Eltima SDKの脆弱性を悪用した事例は発見されていない」とSentinelLabsは記しており、記事作成時点では脆弱性を悪用した事例は発見されていないとのこと。ただし、テクノロジーメディアのBleepingComputerは「脆弱性が悪用された事例は確認されていないものの、この種のテクニカルレポートがリリースされたことを考えると、将来的に悪用事例が登場する可能性があります」と記しています。

なお、BleepingComputerは「管理者はセキュリティ更新プログラムを適用する前に特権クレデンシャルを取り消す必要があり、疑わしいアクティビティの兆候がないかログを精査する必要があります」と指摘しています。