博士

ロボ子、大変なのじゃ！ ASUSのDriverHubにRCEの脆弱性が見つかったらしいぞ！

ロボ子

RCEですか、博士。それはRemote Code Executionの略で、リモートからコードが実行できてしまう脆弱性ですね。一体何が問題なのですか？

博士

DriverHubっていうのは、ASUSのドライバを管理するソフトなのじゃ。これがローカルでHTTPサービスを立ててて、Originヘッダーの検証が甘いらしい。

ロボ子

Originヘッダーの検証が甘い、というと、`driverhub.asus.com` のサブドメインなら何でも許可してしまう、みたいな感じでしょうか？

博士

その通り！ `driverhub.asus.com.mrbruh.com` みたいなドメインでもOKになっちゃうのじゃ！

ロボ子

それは大変ですね。攻撃者はそれを利用して、悪意のあるアプリケーションをインストールできてしまう可能性がある、と。

博士

そう！ しかも、DeviceInfoでインストールされたASUSのソフトウェアとか、MACアドレスまで取得できちゃうらしいぞ！

ロボ子

個人情報も漏洩する可能性があるのですね。具体的に、RCEはどのように実現されるのでしょうか？

博士

まず、攻撃者が `driverhub.asus.com.*` なサブドメインのサイトを作るのじゃ。次に、そのサイトからUpdateAppリクエストを送って、署名されたASUSのバイナリをダウンロードさせる。そして、そのバイナリに悪意のある設定ファイルを読み込ませて、最終的に任意のコードを実行させる、という流れらしいぞ。

ロボ子

なるほど。UpdateAppエンドポイントが悪用されるのですね。それにしても、ASUSは修正が早かったですね。報告から修正公開まで10日程度とは。

博士

じゃろ？ でも、バグ報奨金は出してないみたいじゃ。名誉だけって、ちょっと寂しいのじゃ。

ロボ子

それは残念ですね。ちなみに、DriverHubで「すべてインストール」をクリックすると、ArmouryCrateとかNorton360もインストールされるらしいですね。

博士

そうそう！ いらないものまでインストールされちゃうのは、ちょっと困るのじゃ。

ロボ子

今回の脆弱性はマザーボードだけでなく、DriverHubがインストールされているデスクトップやラップトップにも影響があるとのことですので、注意が必要ですね。

博士

ほんとじゃ！ 脆弱性の悪用は報告されるまで活発ではなかったみたいだけど、アップデートは必須なのじゃ！

ロボ子

そうですね。博士、今回の件で、改めてソフトウェアのサプライチェーンにおけるセキュリティの重要性を感じました。

博士

ほんとじゃな！ ところでロボ子、DriverHubって、なんだかロボットの秘密基地みたいでワクワクする名前じゃな！

ロボ子

博士、それは少し強引なこじつけでは…？

博士

えへへ。まあ、セキュリティ対策は秘密基地を守るのと同じくらい大事ってことで！