Trusted Design

解説:

CVE-2023-33107に関する脆弱性調査結果を以下に解説します。

1. 脆弱性の概要

CVE-2023-33107は、QualcommのGraphics Linuxコンポーネントにおけるメモリ破壊の脆弱性です。IOCTL呼び出し中に共有仮想メモリ領域を割り当てる際に、整数オーバーフローまたはラップアラウンドが発生することが原因です。

1.1 影響

この脆弱性が悪用された場合、機密性、完全性、可用性に対し非常に高い影響を及ぼす可能性があります。攻撃者はこの欠陥を利用して、任意のコードを実行したり、不正なアクセスを獲得したり、システムの状態を変更したり、サービスを中断させたりする可能性があります。

1.2 深刻度

CVE-2023-33107の深刻度は「高」と評価されています。CVSS v3.1ベーススコアは、Qualcomm, Inc.が8.4、NVDが7.8と報告しています。 この脆弱性は、CISAの「既知の悪用されている脆弱性（KEV）」カタログに含まれており、実際に悪用されていることが示されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は、Qualcommチップセット上のGraphics Linuxコンポーネントに影響を与えます。特定のOSバージョンというよりも、QualcommのさまざまなSnapdragonプラットフォームやチップセットが影響を受けます。

2.2 影響を受ける設定

非常に広範なQualcommチップセットが影響を受けます。これには、315 5G IoT Modem、APQ8017、APQ8064AU、AQT1000、AR8031、AR8035、C-V2X 9150、CSRA6620、CSRA6640、CSRB31024、FastConnectシリーズ (6200, 6700, 6800, 6900, 7800)、Flight RB5 5G Platform、MDMシリーズ (9250, 9650)、MSMシリーズ (8108, 8209, 8608, 8909W, 8996AU)、QAMシリーズ (8255P, 8295P, 8650P, 8775P)、QCAシリーズ (6174A, 6310, 6320, 6335, 6391, 6420, 6421, 6426, 6430, 6431, 6436, 6564, 6564A, 6564AU, 6574, 6574A, 6574AU, 6595, 6595AU, 6696, 6698AQ, 6797AQ, 8081, 8337, 9377)、Smart Audio 400 Platform、Smart Display 200 Platform (APQ5053-AA)が含まれます。また、Snapdragon 208/210/212 Processor、Snapdragon 4 Gen 1/2 Mobile Platform、Snapdragon 425/429/439/460/480 5G Mobile Platform、Snapdragon 625/626/630/632/636/660/662/665/670/675/678 Mobile Platform、Snapdragon 680 4G Mobile Platform、Snapdragon 7c+ Gen 3 Compute、Snapdragon 8 Gen 1/2 Mobile Platform、Snapdragon 8+ Gen 1/2 Mobile Platform、Snapdragon 820 Automotive Platform、Snapdragon 835 Mobile PC Platform、Snapdragon 845/855/855+/860/865/865+/870/888/888+ 5G Mobile Platform、Snapdragon AR2 Gen 1 Platform、Snapdragon Auto 5G Modem-RF、Snapdragon W5+ Gen 1 Wearable Platformなど、多数のSnapdragon製品も影響を受けます。

3. 影響を受けた時の兆候

CVE-2023-33107に特化した具体的なIoC（Indicators of Compromise）は公開されていませんが、メモリ破壊や任意のコード実行の脆弱性では一般的に以下の兆候が考えられます。

• 予期しないシステム動作やクラッシュ: システムが不安定になったり、予期せず再起動したりする。
• 異常なリソース使用量: CPU、メモリ、ネットワークなどのリソース使用量が異常に高くなる。
• 疑わしいネットワーク活動: 不審なIPアドレスへの接続や、通常とは異なるデータ送信が検出される。
• 異常なログイン試行: 多数の失敗したログイン試行や、通常とは異なる時間帯からのログイン。
• システムファイルの変更: 重要なOSファイル、設定ファイル、システムバイナリの不正な変更。

4. 推奨対策

4.1 本対策

ベンダーの指示に従い、修正プログラムまたは緩和策を適用してください。Qualcommはセキュリティアップデートをリリースしており、Adreno GPUおよびCompute DSPドライバーに影響する問題のパッチが提供され、OEMにはできるだけ早くセキュリティアップデートを展開するよう強く推奨しています。 Androidデバイスの場合、2023年12月5日以降のセキュリティパッチレベルでこの問題が対処されています。

4.2 暫定回避策（緩和策）

修正プログラムまたは緩和策が利用できない場合は、影響を受ける製品の使用を中止することを検討してください。 また、脆弱なシステムへのアクセスを制限するためにネットワーク制御を導入することも検討すべきです。 Androidデバイスの場合、"Patch Level Out-of-Date" ポリシーを有効にし、フィッシングおよびコンテンツ保護を有効にすることが推奨されます。

その他解説すべき観点

• 攻撃の複雑さ: 低
• 必要な特権: 不要
• ユーザーインタラクション: 悪用にユーザーインタラクションは不要
• 攻撃元: ローカル
• CWE (Common Weakness Enumeration): CWE-190: Integer Overflow or Wraparound (整数オーバーフローまたはラップアラウンド)
• 発見者: Google Project ZeroのJann Horn氏とGoogle Threat Analysis GroupのBenoît Sevens氏によって報告されました。
• 積極的な悪用: この脆弱性は、実際に攻撃で積極的に悪用されており、CISAのKnown Exploited Vulnerabilitiesカタログにリストされています。

参照したサイト

• CVE-2023-33107: Memory Corruption in Linux Graphics via IOCTL SVM Allocation
• CVE-2023-33107 | High Vulnerability in Qualcomm Multiple Chipsets - Appsecure Security
• CVE-2023-33107: Qualcomm Adreno GPU KGSL_IOCTL_GPUOBJ_IMPORT integer overflow | 0-days In-the-Wild - GitHub Pages
• Memory corruption in Graphics Linux while assigning... · CVE-2023-33107 - GitHub
• CVE-2023-33107 Detail - NVD
• CVE-2023-33107 - CVE Record
• Qualcomm Vulnerabilities in Android Devices | Threat Intel - Lookout, Inc.
• Chipmaker Qualcomm warns of three actively exploited zero-days - Security Affairs
• Android Security Bulletin—December 2023
• Complete Guide to Understanding Indicators of Compromise (IoCs) - Palo Alto Networks