チップセットの脆弱性

脆弱性はいろいろな部分に存在します。
多くの人が利用しているソフトウェアそのものにある脆弱性は、目につきやすいこともありますので、他のものに比較して対策されやすいかもしれません。
他の部分にもあります。
いろいろなソフトウェアに利用されるライブラリ的な位置付けのソフトウェアというジャンルのものがあります。
こういったものに脆弱性がある場合、関連するソフトウェアに影響が及びます。
そのライブラリが広く使われていればいるほど、関連するソフトウェアの数は増えます。
いわゆるソフトウェアサプライチェーン問題です。
これは影響が広くなるということのほかに、自身の利用している環境で問題があることに気が付くことが難しいという問題があります。

このソフトウェアサプライチェーン問題に似た事象がもう一つあります。
チップセットの脆弱性です。

ネットワーク機器などのハードウェア製品を使用していて、その製品の脆弱性情報を確認してタイムリーにパッチを適用する、これは正しい運用が期待される内容です。
しかしこれは、なかなか維持するのが大変な取り組みです。
ネットワーク機器などのハードウェア製品にはいろいろな部品が組み込まれています。
内部に搭載されるチップなどの部品を完全に内製で完結できているメーカは多くないように思います。
多くのハードウェア製品のメーカは、特定用途向けの機能が搭載されたチップを他社から購入し、その機能を前提として製品を構成します。
この他社から購入して組み込んでいるチップなりチップセットなりに脆弱性があった場合どうなるでしょう。

ソフトウェアサプライチェーン問題に対しては、SBOM（Software Bill of Materials、ソフトウェア部品表）で対抗しよう、というような取り組みも出てきています。
しかしハードウェア製品の利用者は、利用しているハードウェア製品にどのような組み込み済みのチップセットがあるのかをどのように把握することができるのでしょうか。

2023年10月2日に、Qualcommからセキュリティ情報がリリースされています。
多くの脆弱性に関する情報が含まれます。
一度に20個以上のCVE番号の情報が案内されています。
このなかにCVSSのBaseスコアが非常に高いものが3つ含まれます。

• CVE-2023-24855
  CVSS Rating：Critical
  Technology Area：Modem
  モデムでの範囲外のポインタ オフセットの使用の問題です。
  AS Security Exchangeの前にセキュリティ関連の設定を処理する際のモデムのメモリ破損です。
• CVE-2023-28540
  CVSS Rating：Critical
  Technology Area：Data Modem
  データ モデムでの不適切な認証という問題です。
  この欠陥は、TLSハンドシェイク中の不適切な認証によって引き起こされるデータモデムの暗号化の問題です。
• CVE-2023-33028
  CVSS Rating：Critical
  Technology Area：WLAN Firmware
  無線LANファームウェアの入力サイズをチェックしないバッファコピーの問題です。
  この欠陥は、pmkキャッシュのメモリコピー中に発生するWLANファームウェアのメモリ破損です。

これらの脆弱性のそれぞれについて、問題が存在するチップセットの数が数十種類もあるのです。
ひとつのチップセットを使った製品は複数存在することが考えられます。
末端の製品の種類で考えると膨大な数の製品に影響が及ぶことが考えられます。
まさしく、ハードウェア製品におけるソフトウェアサプライチェーン問題となっています。

これら3つの脆弱性についての悪用の事例はまだ観測されていません。
しかし同時に案内された他の脆弱性のなかにはすでに悪用が観測されているものも含まれます。

この問題については、Qualcommから各提供先に対しての通知はかなり前に実施されています。
手元で使っている製品の更新情報をよく確認し、タイムリーなパッチの適用を継続したいものです。

参考記事（外部リンク）：October 2023 Security Bulletin – Qualcomm Technologies
docs.qualcomm.com/product/publicresources/securitybulletin/october-2023-bulletin.html