CVE-2017-5754」、「CVE-2017-5753」、「CVE-2017-5715」(通称「Meltdown」および「Spectre」脆弱性)が与える ファイア・アイ製品への影響について

2018年1月3日、ファイア・アイの製品・サービスの一部で使用されるCPUに影響を及ぼす脆弱性について公式な発表がありました。脆弱性のCVE番号は「CVE-2017-5754」、「CVE-2017-5753」、「CVE-2017-5715」で、一般的には「Meltdown」および「Spectre」として知られています。

今回発表された脆弱性は、ローカルで実行されるコードから特権を持つカーネル・メモリや、本来読み込まれるはずがない、他プロセスが保有するメモリ内のデータ値を推測できるようになります。エクスプロイトの成功を阻止する策などリスクを軽減させる方法はいくつか存在しますが、危険性を最小限に抑えるため、ファイア・アイではこうした脆弱性の修正に速やかに取り組んでいます。

HXエージェントを取り扱うWindowsシステム管理者で、Windowsアップデートに関する情報をお探しの方は、ファイア・アイの「Endpoint Security Agent」ブログをご参照ください。

CVE-2017-5753とCVE-2017-5715(通称「Spectre」)
脆弱性Spectreに関しては現在分析中です。すでに公開されているCVE-2017-5715の攻撃は、MVX分析環境内で開始した場合も、失敗すると予想されます。しかし、FireEye AX/EXアプライアンスをご利用中のお客様には、ライブモード(AX)とコントロールド・ライブモード(EX)のご利用を当面の間、中止いただくことを推奨します。

CVE-2017-5754(通称「Meltdown」)
脆弱性Meltdownも現在分析中の段階ですが、この脆弱性はAMD CPUは影響しないと考えられます。ファイア・アイの物理アプライアンス製品のうち、Intelの製品のみが影響を受けると考えられます。具体的な製品・サービスについては下の表をご参照ください。NXCMHXFX対応の仮想アプライアンスについては、脆弱性はホスト環境によって変わりますので、ご注意ください。

ファイア・アイの製品・サービスへの脆弱性Meltdownの影響と現状:

製品・サービス

モデル

現状

NX(物理)

NX 1500、NX 2500、NX 2550、NX 3500、NX 4500、NX 5500、NX 7500、NX 10550

影響あり。ただし、既存のセキュリティ対策により、悪用は不可能と考えられる。修正作業中

NX(物理)

上記以外の全物理モデル

影響なし

NXセンサー(仮想)

全仮想モデル

ホスト環境により、影響がある可能性あり。既存のセキュリティ対策により、悪用は不可能と考えられる

VX

全モデル

影響あり。ただし、既存のセキュリティ対策により、悪用は不可能と考えられる。修正作業中

EX

EX 3500、EX 5500、EX 7640、EX 8500

影響あり。ただし、既存のセキュリティ対策により、悪用は不可能と考えられる。修正作業中

EX

上記以外の全モデル

影響なし

AX

AX 5500、AX 5550

影響あり。ただし、既存のセキュリティ対策により、悪用は不可能と考えられる。修正作業中

AX

上記以外の全モデル

影響なし

FX(物理)

全物理モデル

影響なし

FXセンサー(仮想)

全仮想モデル

ホスト環境により、影響がある可能性あり。既存のセキュリティ対策により、悪用は不可能と考えられる

CM(物理)

CM 4500、CM 7500、CM 9500

影響あり。ただし、既存のセキュリティ対策により、悪用は不可能と考えられる。修正作業中

CM(物理)

上記以外の全物理モデル

影響なし

CM(仮想)

全仮想モデル

ホスト環境により、影響がある可能性あり。既存のセキュリティ対策により、悪用は不可能と考えられる

HX(物理)

HX 4000、HX 4502

影響あり。ただし、既存のセキュリティ対策により、悪用は不可能と考えられる。修正作業中

HX(物理)

上記以外の全物理モデル

影響なし

HX(仮想)

全仮想モデル

ホスト環境により、影響がある可能性あり。既存のセキュリティ対策により、悪用は不可能と考えられる

IA

全モデル

影響あり。修正作業中

PX

全モデル

影響あり。修正作業中

Helix

なし

影響あり。修正作業中

TAP

なし

影響あり。修正作業中

FIC

なし

影響あり。修正作業中

Cloud MVX

なし

影響あり。修正作業中

IAM

なし

影響あり。修正作業中

FSO

なし

影響あり。修正作業中

ETP

なし

影響あり。修正作業中

Cloud Collector

なし

影響あり。修正作業中

DTI

なし

影響あり。修正作業中

Guest Images

なし

分析作業中

今後の対策
現在、修正に向けた開発・検証が進行中です。物理・仮想アプライアンス製品については、システム全体のイメージ・アップデートを伴う可能性が高く、適用するには再起動が必要となります。お客様の製品を守るため、ファイア・アイは今後もより広範なコミュニティと連携していきます。

推奨されるリスク軽減策

  • FireEye AX/EXアプライアンスをご利用中のお客様には、ライブモード(AX)とコントロールド・ライブモード(EX)のご利用を当面の間、中止いただくことを推奨します。AXの場合、ライブモードはサブミッション時のオションとして選択されます。EXの場合、コントロールド・ライブモードを構成上無効にするには、CLI内で「電子メール分析によるコントロールド・ライブモードを有効にしない」モードに設定できます。
  • 常に製品を最新バージョンに維持してください。
  • 仮想アプライアンスの使用時には、ホストOSとハイパーバイザを常に最新状態にしてください。
  • ファイアウォール(などの保護対策)を利用し、アプライアンス管理インターフェイスとのネットワーク・アクセスを制限してください。
  • 信頼できる管理人にのみ、アカウントを発行してください。
  • 強力なパスワードや鍵を利用してください。
  • アプライアンスへの物理アクセスを、信頼できる管理人に制限してください。