今週のダイジェストでは、以下の内容をご紹介します:
- Hashicorp Vaultのクロスサイトスクリプティングの脆弱性
- Grafana アクセス制御とレースコンディションの脆弱性
- PMM認証回避の脆弱性
CVE-2023-2121: Hashicorp Vault のクロスサイトスクリプティングの脆弱性
背景
Hashicorp Vaultは、最新のIT環境で機密データを安全に保管・管理するために設計されたオープンソースツールです。パスワード、鍵、証明書、その他の機密データを安全に保管し、アクセスする方法を提供します、 API 鍵、証明書、その他の種類の秘密を安全に保管し、アクセスする方法を提供する。Vaultは、暗号化、アクセス制御ポリシー、監査機能を組み合わせて使用し、機密情報を保護します。Vault Enterpriseは、HashiCorp Vaultの商用バージョンです。Vault Enterpriseは、HashiCorp Vaultの商用版で、エンタープライズ規模の導入に適した追加機能とサポートを提供します。
ヴァルネラビリティ
CVE-2023-2121として追跡されているこの脆弱性は、キーバリューを通じてVault Web UIにHTMLインジェクションが可能なインジェクション脆弱性である。影響を受ける製品は、1.10.0以降のVaultおよびVault Enterpriseです。
Vault 1.10.0では、VaultのWeb UIでkv-v2 (KV Secrets Engine)のキーバリューシークレットの2つのリビジョンの違いを簡単に確認できる機能が追加されました。
kv-v2 secrets engine mountへの書き込み権限を持つユーザーが、VaultのWeb UIで不正にサニタイズされ生のHTMLとして表示される文字列を提供し、HTMLインジェクションにつながる可能性があります。
デフォルトでは、Vaultのコンテンツセキュリティポリシーは、インラインJavaScriptの実行を防止し、したがって、このベクトルを介してクロスサイトスクリプティングへの暴露を防止します。Vaultは、クロスサイトスクリプティングを防ぐために3つの主要なメカニズムを使用しています。バックエンドの強力なタイピングと入力検証、フロントエンドのフレームワーク提供の出力エンコーディング、および制限的でカスタマイズ可能なコンテンツセキュリティポリシー(デフォルトでscript-src 'self' を含む)です。
なお、攻撃者がペイロードを注入するためには、kv-v2 シークレットエンジンへの書き込み権限が必要であるため、本脆弱性の影響度は低い。
ミティゲーション
- Vault 1.14.0, 1.13.3, 1.12.7, 1.11.11 のパッチ適用バージョンへのアップグレードを強く推奨します。
Grafana アクセス制御とレースコンディションの脆弱性
背景
Grafana は、オープンソースの分析およびインタラクティブな可視化ウェブアプリケーションです。Grafana は、Prometheus 、InfluxDB、Graphite、Elasticsearch など、さまざまなソースからのメトリクスを監視・可視化する人気のツールです。また、複数のソースからのデータを1つのビューで表示するダッシュボードの作成にも使用できます。
脆弱性(ぜいじゃくせい
Grafana バージョン9.5 > 9.5.3, 9.4 > 9.4.12, 9.3 > 9.3.15, 9.0 > 9.2.19, 8.0 > 8.5.26 にはいくつかの脆弱性があり、これから取り上げます。
CVE-2023-2183:アクセス制御の不具合
Grafana を介してアラートを送信する機能があります。 API またはWeb UIユーザーパネル経由でアラートを送信する機能があります。
この脆弱性は、CVE-2023-2183 として追跡されており、Viewer ロールの攻撃者が、Alert Test Function を使用してアラートを送信することを可能にします。 API この問題は API この問題は API この問題は、アラート機能へのユーザのアクセスをチェックしていないために発生します。このPOC では、この脆弱性が悪用されていることが確認できます。
ここで1つ注意すべき点は、このオプションはViewerロールのユーザーパネルUIでは利用できず、以下の方法でしか利用できないということです。 API.
この脆弱性により、悪意のあるユーザーは、電子メールやSlackなどのプラットフォームを通じて複数の警告メッセージを送信したり、ユーザーにスパムメールを送信したり、フィッシング攻撃を準備したり、SMTPサーバー/IPをブロックしたり、すべてのメッセージを自動的にスパムフォルダーに移動したり、ブラックリストIPに追加するなど、機能を悪用できます。
ミティゲーション
- Grafana 9.5.3, 9.4.12, 9.3.15, 9.2.19, 8.5.26 のパッチ適用バージョンにアップグレードすることを強く推奨します。
- 電子メールによるスパム行為を防止するために、単位時間/閾値ごとに同じメールアドレスに複数の電子メールを送信できるように制限することで、SMTPサーバーの設定変更を検討します。
CVE-2023-2801:DSプロキシのレースコンディション
Grafana は、複数のデータソースからデータを使用して混合クエリを作成する機能を備えています。例えば、Prometheus と InfluxDB の両方のデータを使用する混合クエリーを作成することができます。Public Dashboardsは、Grafana のもう一つの機能で、ユーザーがダッシュボードを組織外の人と共有することを可能にします。
CVE-2023-2801として追跡されているこの脆弱性は、Grafana が混合クエリを処理する方法に存在する。Grafana が混合クエリを受信すると、各データ・ソースに対して順番にクエリを実行しようとします。しかし、クエリが不正な形式の場合、Grafana がクラッシュする可能性があります。具体的には API を送信すると、Grafana インスタンスがクラッシュする可能性があります。現在、Grafana 内で混合クエリを使用している機能はパブリック・ダッシュボードのみですが、/ds/query を直接呼び出すことでもこの問題を引き起こす可能性があります。 API を直接呼び出すことによってもこの問題を引き起こす可能性があります。
注:パブリックダッシュボード(PD)を有効にしている場合、この脆弱性はGrafana によって「高」と評価されます。PD を無効にしている場合でも、この脆弱性にはリスクがあります。ただし、この問題を引き起こすには、データソースの読み取り権限と、開発者スクリプトを介したGrafana API へのアクセスが必要です。
ミティゲーション
- Grafana 9.5.3, 9.4.12, 9.3.15, 9.2.19, 8.5.26 のパッチ適用バージョンにアップグレードすることを強く推奨します。
- パブリックダッシュボードでは、混合クエリの使用はなるべく避けてください。
CVE-2023-34409: PMM認証バイパスの脆弱性
背景
PerconaMonitoring and Management (PMM) は、MySQL、PostgreSQL、MongoDBを含むオープンソースデータベースの監視・管理ツールです。データベースとホストからメトリクスを収集し、ウェブベースのダッシュボードに表示します。PMM には、トラブルシューティング、アラート、パフォーマンス最適化の機能も含まれています。
ヴァルネラビリティ
この脆弱性はCVE-2023-34409 として追跡されており、PMM の認証処理の方法に存在する認証バイパスの脆弱性である。PMM の 2.0.0 以降のすべてのバージョンに脆弱性があると想定されます。
PMM の脆弱なバージョンでは、認証機能は、ルールセットで一致するパターンを見つけるまで、URL のセグメントを削除していました。この機能は、パストラバースの試みを拒否するために、URLのパスを適切にサニタイズしません。この欠陥は、認証されていないリモート攻撃者が、不正なURLをPMMに送り込むことで悪用される可能性があります。
ミティゲーション
- 特にPMMインスタンスがインターネットから直接アクセスできる場合は、パッチが適用されたバージョンのPMM(2.37.1)にアップグレードすることを強く推奨します。
コメント