CVE-2022-24772は、node-forgeのRSA PKCS#1 v1.5署名検証コードにおいて、DigestInfo ASN.1構造のデコード後に末尾の不要なバイトをチェックしないことに起因する脆弱性です。この脆弱性を悪用されると、低い公開指数が使用されている場合に、パディングバイトが削除され、不要なデータが追加されて署名が偽造される可能性があります。この問題はnode-forgeバージョン1.3.0で修正されています。
CVE-2022-24772 は、node-forge ライブラリに影響を与え、特に RSA PKCS#1 v1.5 シグネチャ検証コードに影響を与えます。この脆弱性は、ASN.1 DigestInfo 構造体をデコードした後の末尾のガベージバイトの検証が欠けていることにあります。これにより、攻撃者はパディングバイトを削除し、低い公開指数を使用している場合にシグネチャを偽造するためにガベージデータを追加できます。node-forge に依存して RSA PKCS#1 v1.5 シグネチャを安全に検証するアプリケーションにとって、リスクは大きいです。攻撃者は、データの整合性とトランザクションの真正性を損なう可能性があります。
この脆弱性の悪用には、ASN.1 構造と RSA PKCS#1 v1.5 シグネチャの仕組みに関する深い知識が必要です。攻撃者は、RSA PKCS#1 v1.5 シグネチャを傍受または生成し、パディングを変更して悪意のあるデータを挿入し、次に変更されたシグネチャを検証のために提示する必要があります。悪用の成功は、特定のシグネチャ検証の実装と使用される公開指数に依存します。悪用の複雑さは、脆弱性の重大性を軽減しません。なぜなら、十分なリソースとスキルを持つ攻撃者は、それを利用して影響を受けたシステムを侵害する可能性があるからです。
エクスプロイト状況
EPSS
0.16% (37% パーセンタイル)
CVSS ベクトル
この脆弱性の修正は、node-forge ライブラリをバージョン 1.3.0 以降に更新することです。このバージョンには、ASN.1 デコード後のガベージバイトを適切に検証する修正が含まれており、シグネチャ偽造のリスクを軽減します。node-forge のすべてのユーザーは、できるだけ早くこの更新を適用することを強くお勧めします。さらに、node-forge を使用するコードを調べて、ベストセキュリティプラクティスに従い、潜在的な攻撃への露出を最小限に抑えていることを確認してください。更新は、重要なシステムに対して優先順位を付ける必要があります。
Actualice a la versión 1.3.0 o superior de node-forge para corregir la vulnerabilidad. Esta actualización aborda la verificación incorrecta de la firma criptográfica al decodificar estructuras ASN.1, previniendo la falsificación de firmas en ciertos escenarios.
脆弱性分析と重要アラートをメールでお届けします。
ASN.1 (Abstract Syntax Notation One) は、構造化されたデータを定義および表現するための標準です。ネットワークプロトコルやファイル形式で広く使用されています。
PKCS#1 v1.5 は、署名や暗号化を含む RSA メッセージの形式の標準です。
バージョン 1.3.0 は、ガベージバイトを検証することで脆弱性を修正し、シグネチャの偽造を防ぎます。
すぐにアップデートできない場合は、署名のソースを検証したり、より大きな公開指数を使用したりするなど、追加の軽減策を検討してください。
アプリケーションで使用する node-forge やその他のライブラリの最新のセキュリティアップデートを常に把握しておくことが重要です。