こんにちは、Orca Security 担当の藤原です。
今回は、脆弱性について調べた結果を簡単にまとめてみました。 対象となる脆弱性は弊社の検証環境で検出したものから選びました。

自身の後学と備忘のために、ウェブ検索しながらまとめたものになりますが、 ご参考になれば幸いです。

対象

CVE-2023-37920

概要

Certifiパッケージに存在する脆弱性です。この脆弱性により、e-Tugraルート証明書を利用した、未知の影響と攻撃ベクトルを持つ未指定のエラーが発生する可能性がある。

どんな問題なのか

まず、Certifiパッケージは、SSL証明書の信頼性を検証し、TLSホストのIDを確認するために使用される、ルート証明書のコレクションです。

次に、e-Tugraルート証明書は、トルコの政府機関によって発行されたルート証明書です。 e-Tugra 認証局は、運営体制やセキュリティ対策で問題を指摘されており、2023年に主要なブラウザからルート証明書が削除されているようです。

バージョン 2023.07.22 以前のCertifiパッケージでは、e-Tugraルート証明書を認識してしまうため、悪意のある攻撃者が悪用する可能性があります。 Certifi パッケージを使用している以下のようなシステムでの影響が考えられます。

• Linux、macOS、Windowsなどのオペレーティングシステム
• Apache、NginxなどのWebサーバ
• OpenSSL、TLS 1.3などのTLS実装
• その他の、SSL証明書を検証するアプリケーション

対策

対策として以下が考えられます。

• Certifiパッケージを最新バージョンに更新する。
• e-Tugraルート証明書を必要とするアプリケーションを、最新バージョンに更新する。
• e-Tugraルート証明書を必要とするアプリケーションを、信頼されていないネットワークから実行しない。

さいごに

NVD を始めとして色々な情報を確認しましたが、改めて脆弱性についての調査に時間がかかることを実感しました。
脆弱性の影響調査にかかる工数の削減に貢献できるよう、定期的に発信するようにしていこうと思います。