米国政府は、GPSナビゲーションシステムによる時刻の同期に使用されるソフトウェアライブラリにバグがあり、パッチが適用されていない機器では時刻が1,024週分、つまり2002年3月の日付に巻き戻される可能性があるとして、警告を発しました。
リリース3.20以降のtimebase.c モジュールに問題が潜んでいることを発見しました。
このコードは、2021年10月16日(土)から2002年3月3日(日)までの1024週分の逆方向のタイムジャンプを引き起こすことになります。
このバグは、機器のファームウェアにGPS機能を追加するためのCライブラリであるgpsdとNTPサーバーで使用されているdameonに存在するものです。
このライブラリは、全地球測位システム(GPS)への接続性を提供するだけでなく、機器を同期させるためにGPSシステムから協定世界時(UTC)を取得するのにも使用できます。
この時刻取得機能にバグが発見されたのは2021年7月でした。
10月24日には、このバグをきっかけにUTC時刻が1024週前の2002年3月3日にロールバックされてしまう事象も発生しています。
gpsdのバージョン3.20(2019年12月31日リリース)から3.22(2021年1月8日リリース)には、このバグが含まれています。
2021年8月にはgpsd 3.23で修正版がリリースされています。
サイバーセキュリティ・インフラストラクチャセキュリティ機構(CISA)は、このバグとその発動日が2021年10月24日に迫っていることについて、セキュリティアドバイザリを公開しました。
重要インフラの所有者や運営者および全地球測位システム(GPS)機器から協定世界時(UTC)を取得しているその他のユーザーは、GPSデーモン(GPSD)のバージョン3.20(2019年12月31日リリース)から3.22(2021年1月8日リリース)のバグにご注意ください。
2021年10月24日、バグのあるGPSDバージョン3.20~3.22を使用しているNTP(Network Time Protocol)サーバーは、日付を1,024週前の2002年3月にロールバックする可能性があり、その結果、システムやサービスが利用できなくなったり、反応しなくなったりする可能性があります。
CISAは、影響を受けるCIの所有者および運営者に対し、GPSDを使用してGPS機器からタイミング情報を取得するシステムに、GPSDバージョン3.23(2021年8月8日リリース)以降が使用されていることを確認するようにしてください
詳しくは、「Keeping Track of Time: Network Time Protocol and a GPSD Bug」をご覧ください。
セキュリティ研究者のイー・チン氏は、2021年9月29日にISC SANSに寄稿した記事の中で、このバグは19.7年ごとに週番号をゼロに戻す「ウィーク・ロールオーバー」と呼ばれるGPSの正規の機能に存在すると分析しています。
イー・チン氏によると「GPSD内の一部のサニティ・チェック・コードのバグ」により、このライブラリは週番号カウンタから1024を減算し、事実上、時間を巻き戻すことが予定されているとのことです。
このバグの影響を最も受けやすいのはNTPサーバーで、2021年10月24日に一部のネットワークやデバイスが2002年に移行する可能性があり、cronジョブやスケジュールされたタスクが狂う可能性が高いとのことです。
Comments