クッキーの脆弱性が判明: HTTPS のセキュリティを突破する、攻撃が成り立ってしまう!
Cookies can bypass HTTPS in web browsers
Juha Saarinen – Sep 25 2015
The US Computer Emergency Response Team (CERT) has issued a vulnerability note warning that cookies in web browsers could allow remote attackers to bypass secured sessions and reveal private information.
US CERT (Computer Emergency Response Team) が発行した、脆弱性に関する新たな警告ノートが示すのは、Web ブラウザ内に保持されているクッキーが、セキュア・セッションをバイパスするリモート攻撃を許し、さらには、個人情報を流出させるという可能性である。
Cookies are small text files with data sent to web browsers that servers and applications use to keep track on what users do during their sessions.
クッキーとは、Web ブラウザに送り込まれる小さなテキスト・ファイルのデータであり、それをサーバーやアプリケーションから参照することで、ユーザー・セッションでの行動を追跡するというものである。
Fundamental flaw in state management feature could bust open secured web browsing.
They have long been thought to contain potential security issues, as the RFC 6265 specification does not give mechanisms for isolation and integrity guarantees, CERT said its 804060 notice.
これまでの長期にわたり、セキュリティ上の潜在的な問題を、クッキーは持っていると考えられてきた。そして、RFC 6265 スペックについては、分離性と完全性を保証するための、メカニズムを与えるものではないと、CERT が Note 804060 で述べている。
A group of researchers from the University of California, Tsinghua University, Huawei and Microsoft found that thanks to the lack of integrity guarantees, an attacker with a man in the middle position on a plain-text HTTP browsing session could inject cookies that will be used for secure HTTPS encrypted sessions.
University of California/Tsinghua University/Huawei/Microsoft の研究者で構成されるグループが、クッキーの完全性が保証されないことで、ある問題を生じることを発見した。つまり、HTTP ブラウジング・セッション(プレーン・テキスト)を行っている人を攻撃者が悪用することで、セキュアな HTTPS 暗号セッションで使用することになるクッキーに侵入できてしまうのだ。
This, the researchers wrote in the Cookies Lack Integrity: Real-World Implications paper [pdf], can be achieved even if the “secure” flag is set to the state-management feature, indicating the files should only be sent over an HTTPS connection.
この問題は、Cookies Lack Integrity: Real-World Implications という論文 [pdf] に記載されている。それによると、HTTPS 接続されているときだけに、送信されるべきファイルを示す “secure” フラグが、”state-management” 機能に対して設定されている場合であっても、上記の方式は成立してしまう。
Cookie attacks can be performed with most modern web browsers such as Apple Safari, Google Chrome, Mozilla Firefox and Microsoft Internet Explorer.
クッキーによる攻撃は、Apple Safari/Google Chrome/Mozilla Firefox/Microsoft Internet Explorer といった、最新の Web ブラウザでも防ぐことができない。
“We found cookie injection attacks are possible with very large websites and popular open source applications including Google, Amazon, eBay, Apple, Bank of America, BitBucket, China Construction Bank, China UnionPay, JD.com, phpMyAdmin, and MediaWiki, among others,” the researchers wrote.
この研究者のグループは、「きわめて大規模な Web サイトや、人気のオープンソース・アプリケーションであっても、このクッキー侵入攻撃が成立することを発見した。具体的に言うと、Google/Amazon/eBay/Apple/Bank of America/BitBucket/China Construction Bank/China UnionPay/JD.com/phpMyAdmin/MediaWiki などであっても、その標的になってしまうのだ」と述べている。
Several types of attacks are possible with cookie injection, they said, including cross-site scripting, leaking of private data, cross-site request forgery (CSRF), fraud and theft of user account details.
このクッキー侵入を用いるとこで、いくつかのタイプの攻撃が成り立つと、研究者たちは説明している。そして、そこには、cross-site scripting/leaking of private data/cross-site request forgery (CSRF)/fraud and theft of user account details などが含まれるという。
To demonstrate the vulnerability, the researchers devised two exploits against Google, hijacking the Gmail chat gadget, and invisibly stealing a user’s search history.
研究者たちは、この脆弱性を実証するために、Google に対して2つの裏ワザを仕掛けてみた。それは、Gmail のチャット・ガジェットをハイジャックし、ユーザーに気づかれずに検索履歴を盗み出すというものだ。
This was possible because the base google.com domain is not fully protected by HTTP strict transport security (HSTS), which allows a server to tell a client to only ever communicate over HTTPS.
ベースとなる google.com ドメインが、HSTS(HTTP strict transport security)により完全に保護されているわけではないので、この擬似的な攻撃が成立してしまった。ちなみに、HSTS が機能していると、サーバーが通信するクライアントを、HTTPS を介するものだけに限定できる。
The researchers also found a corner case affecting shared domains used by content delivery networks such as Cloudflare, CacheFly and Microsoft’s Windows.net/msecnd.net Azure that permitted cookie injection attacks.
また、研究者たちは、CDN(content delivery networks)で利用される共有ドメインにおいても、稀に影響をが生じることを発見した。それらは、CloudFlare/CacheFly/Microsoft Windows.net/msecnd.net Azure などであり、このクッキー侵入攻撃を許してしまった。
Mitigation measures against cookie injection attacks include full HSTS protection, a public suffix list of top-level and shared domains, defensive cookie practises such as frequently invalidating them, and anomaly detection to ensure the state-management settings are valid.
このクッキー侵入攻撃に対する緩和策としては、完全な HSTS プロテクション/トップレベル・ドメインと共有ドメインに関するサフィックス・リストの公開/その機能を定期的に無効にしていくようなクッキー防御のプラクティス/ステート・マネージメント設定が有効性を確認するための異常検出などが挙げられる。
HSTS is however, problematic – Google, for instance, cannot fully deploy the security measure because it is required to support non-HTTPS access for mandatory adult content filtering in schools and other locations.
ただし、HSTS の運用には問題が残される。たとえば、Google のケースにおいても、完全なセキュリティ対策の導入は困難だ。なぜなら、学校などのロケーションにおいて、アダルト・コンテンツをフィルタリングするために、non-HTTPS アクセスのサポートが必要とされるからだ。
Social networks Facebook and Twitter cannot support HSTS fully either on all subdomains, and the researchers suggested a number of workarounds to prevent cookies being replaced or inserted secretly.
Facebook や Twitter などのソーシャル・ネットワークにおいても、すべてのサブ・ドメインまでを含めて、完全に HSTS をサポートすることは難しい。そして、クッキーの置き換えや挿入を防止するためには、かなりの作業量が必要になると、研究者たちは示唆している。
ーーーーー
ーーーーー
<関連>
leave a comment