CVE-2022-24771は、node-forgeのRSA PKCS#1 v1.5署名検証コードにおける、ダイジェストアルゴリズム構造のチェックの甘さに起因する脆弱性です。この脆弱性を悪用することで、署名の偽造が可能になる可能性があります。影響を受けるのはnode-forgeの1.3.0より前のバージョンです。この問題はバージョン1.3.0で修正されています。
CVE-2022-24771 は、node-forge ライブラリ、特に RSA PKCS#1 v1.5 シグネチャ検証コードに影響を与えます。この脆弱性は、ダイジェストアルゴリズム構造のチェックが緩いことに起因します。これにより、攻撃者は作成された構造を使用してパディングバイトを盗み、低い公開指数が使用されている場合に PKCS#1 エンコードメッセージの検証されていない部分を使用してシグネチャを偽造できます。RSA シグネチャ検証に node-forge に依存し、小さい公開指数を使用する構成を使用するアプリケーションにとって、リスクは大きいです。
この脆弱性の悪用には、PKCS#1 シグネチャ構造に関する知識と、node-forge を使用して検証するためにシステムに悪意のあるデータを送信できる攻撃者が必要です。成功は、RSA キーで使用される公開指数を含む、特定のシステム構成に依存します。小さい公開指数は、悪用が成功する可能性を高めます。攻撃の複雑さは、検証者を欺くために慎重に作成されたシグネチャ構造を作成する必要性にあります。
エクスプロイト状況
EPSS
0.14% (35% パーセンタイル)
CVSS ベクトル
この脆弱性の解決策は、node-forge ライブラリをバージョン 1.3.0 以降に更新することです。このバージョンは、ダイジェストアルゴリズム構造の検証を修正し、パディングの操作とシグネチャの偽造を防ぎます。このリスクを軽減するために、node-forge の最新の安定バージョンにアップグレードすることを強くお勧めします。さらに、node-forge を使用しているコードを調べて、安全な公開指数が使用されており、キーとシグネチャ管理に関するベストプラクティスが遵守されていることを確認してください。
Actualice a la versión 1.3.0 o superior de node-forge para mitigar la vulnerabilidad. Esta actualización corrige la verificación inadecuada de la firma criptográfica, previniendo la posibilidad de falsificación de firmas bajo ciertas condiciones.
脆弱性分析と重要アラートをメールでお届けします。
PKCS#1 v1.5 は、RSA メッセージの形式の標準です。RSA で署名または復号化する前に、メッセージをどのようにエンコードおよびパディングするかを定義します。
公開指数は RSA キーの重要なコンポーネントです。小さい公開指数は、この種の攻撃に対して署名を脆弱にする可能性があり、偽造署名の計算が容易になります。
すぐに更新できない場合は、より大きな公開指数を使用したり、署名を厳密に検証したりするなど、追加の軽減策を検討してください。
現在、この脆弱性を検出するための特定のツールはありません。ただし、node-forge の不正な使用を特定するために、徹底的なコードレビューを行うことをお勧めします。
KEV: no は、この脆弱性がコミュニティの脆弱性ナレッジベースに含まれていないことを示します。