Orca Security で検知した脆弱性の内容を調べました【CVE-2023-37920】

こんにちは、Orca Security 担当の藤原です。
今回は、脆弱性について調べた結果を簡単にまとめてみました。対象となる脆弱性は弊社の検証環境で検出したものから選びました。

自身の後学と備忘のために、ウェブ検索しながらまとめたものになりますが、ご参考になれば幸いです。

対象

CVE-2023-37920

Certifiパッケージに存在する脆弱性です。この脆弱性により、e-Tugraルート証明書を利用した、未知の影響と攻撃ベクトルを持つ未指定のエラーが発生する可能性がある。

まず、Certifiパッケージは、SSL証明書の信頼性を検証し、TLSホストのIDを確認するために使用される、ルート証明書のコレクションです。

次に、e-Tugraルート証明書は、トルコの政府機関によって発行されたルート証明書です。 e-Tugra 認証局は、運営体制やセキュリティ対策で問題を指摘されており、2023年に主要なブラウザからルート証明書が削除されているようです。

バージョン 2023.07.22 以前のCertifiパッケージでは、e-Tugraルート証明書を認識してしまうため、悪意のある攻撃者が悪用する可能性があります。 Certifi パッケージを使用している以下のようなシステムでの影響が考えられます。

対策として以下が考えられます。

NVD を始めとして色々な情報を確認しましたが、改めて脆弱性についての調査に時間がかかることを実感しました。
脆弱性の影響調査にかかる工数の削減に貢献できるよう、定期的に発信するようにしていこうと思います。

クラウドインテグレーションとシステム開発に強く、自社商用環境でOrca Security を利用しているフォージビジョンが、そのノウハウをもってお客様の Orca Security 活用を徹底的にサポートさせていただきます。

※Orca Securityの利用ノウハウ、機能紹介、検証結果など本ブログで記事数100本以上更新中！

◆サービスサイト

◆お問い合わせはこちら