今週のダイジェストでは、以下の内容をご紹介します:
- Hashicorp Vaultのクロスサイトスクリプティングの脆弱性
- Grafana アクセス制御とレースコンディションの脆弱性
- PMM認証回避の脆弱性
CVE-2023-2121: Hashicorp Vault のクロスサイトスクリプティングの脆弱性
背景
Hashicorp Vaultは、現代のIT環境における機密データを安全に保管・管理するために設計されたオープンソースツールです。パスワード、API キー、証明書、およびその他の種類の秘密を安全に保存し、アクセスする方法を提供する、集中型の秘密管理ソリューションとして機能します。Vaultは、暗号化、アクセス制御ポリシー、監査機能の組み合わせを使用して、機密情報を保護します。Vault Enterpriseは、HashiCorp Vaultの商用版です。Vault Enterpriseは、HashiCorp Vaultの商用版で、企業規模の展開に合わせた追加機能とサポートを提供します。
ヴァルネラビリティ
CVE-2023-2121として追跡されているこの脆弱性は、キーバリューを通じてVault Web UIにHTMLインジェクションが可能なインジェクション脆弱性である。影響を受ける製品は、1.10.0以降のVaultおよびVault Enterpriseです。
Vault 1.10.0では、VaultのWeb UIでkv-v2 (KV Secrets Engine)のキーバリューシークレットの2つのリビジョンの違いを簡単に確認できる機能が追加されました。
kv-v2 secrets engine mountへの書き込み権限を持つユーザーが、VaultのWeb UIで不正にサニタイズされ生のHTMLとして表示される文字列を提供し、HTMLインジェクションにつながる可能性があります。
デフォルトでは、Vaultのコンテンツセキュリティポリシーは、インラインJavaScriptの実行を防止し、したがって、このベクトルを介してクロスサイトスクリプティングへの暴露を防止します。Vaultは、クロスサイトスクリプティングを防ぐために3つの主要なメカニズムを使用しています。バックエンドの強力なタイピングと入力検証、フロントエンドのフレームワーク提供の出力エンコーディング、および制限的でカスタマイズ可能なコンテンツセキュリティポリシー(デフォルトでscript-src 'self' を含む)です。
なお、攻撃者がペイロードを注入するためには、kv-v2 シークレットエンジンへの書き込み権限が必要であるため、本脆弱性の影響度は低い。
ミティゲーション
- Vault 1.14.0, 1.13.3, 1.12.7, 1.11.11 のパッチ適用バージョンへのアップグレードを強く推奨します。
Grafana アクセス制御とレースコンディションの脆弱性
背景
Grafana は、オープンソースの分析およびインタラクティブな可視化ウェブアプリケーションです。Grafana は、Prometheus 、InfluxDB、Graphite、Elasticsearch など、さまざまなソースからのメトリクスを監視・可視化する人気のツールです。また、複数のソースからのデータを1つのビューで表示するダッシュボードの作成にも使用できます。
脆弱性(ぜいじゃくせい
Grafana バージョン9.5 > 9.5.3, 9.4 > 9.4.12, 9.3 > 9.3.15, 9.0 > 9.2.19, 8.0 > 8.5.26 にはいくつかの脆弱性があり、これから取り上げます。
CVE-2023-2183:アクセス制御の不具合
Grafana は、API または Web UI ユーザーパネル経由でアラートを送信する機能を提供します。
この脆弱性は、CVE-2023-2183として追跡されており、Viewerロールの攻撃者がAPI Alert-Test Functionによってアラートを送信することができます。この問題は、API がAPI alert functionへのユーザーのアクセスをチェックしていないために発生します。本POCでは、本脆弱性が悪用されている様子を確認することができます。
ここで注意すべき点は、このオプションはViewerロールのユーザーパネルUIでは利用できず、API を介してのみ利用可能であるということです。
この脆弱性により、悪意のあるユーザーは、電子メールやSlackなどのプラットフォームを通じて複数の警告メッセージを送信したり、ユーザーにスパムメールを送信したり、フィッシング攻撃を準備したり、SMTPサーバー/IPをブロックしたり、すべてのメッセージを自動的にスパムフォルダーに移動したり、ブラックリストIPに追加するなど、機能を悪用できます。
ミティゲーション
- Grafana 9.5.3, 9.4.12, 9.3.15, 9.2.19, 8.5.26 のパッチ適用バージョンにアップグレードすることを強く推奨します。
- 電子メールによるスパム行為を防止するために、単位時間/閾値ごとに同じメールアドレスに複数の電子メールを送信できるように制限することで、SMTPサーバーの設定変更を検討します。
CVE-2023-2801:DSプロキシのレースコンディション
Grafana は、複数のデータソースからデータを使用して混合クエリを作成する機能を備えています。例えば、Prometheus と InfluxDB の両方のデータを使用する混合クエリーを作成することができます。Public Dashboardsは、Grafana のもう一つの機能で、ユーザーがダッシュボードを組織外の人と共有することを可能にします。
CVE-2023-2801として追跡されているこの脆弱性は、Grafana が混合クエリを処理する方法に存在します。Grafana が混合クエリを受信すると、各データソースに対して順番にクエリを実行しようとします。しかし、クエリが不正な形式である場合、Grafana がクラッシュする可能性があります。より具体的には、混合クエリを持つ /ds/query または public dashboard クエリエンドポイントにAPI 呼び出しを送信すると、Grafana インスタンスがクラッシュする可能性があります。現在、Grafana 内で混合クエリを使用する機能はパブリックダッシュボードのみですが、API を直接呼び出すことによってもこの問題を引き起こすことが可能です。
注:Public Dashboards(PD)を有効にしている場合、この脆弱性はGrafana によって「高」と評価されます。PDを無効にしている場合でも、この脆弱性は依然としてリスクをはらんでいます。ただし、この問題を引き起こすには、データソースの読み取り権限と、開発者スクリプトを介したGrafana API へのアクセスが必要です。
ミティゲーション
- Grafana 9.5.3, 9.4.12, 9.3.15, 9.2.19, 8.5.26 のパッチ適用バージョンにアップグレードすることを強く推奨します。
- パブリックダッシュボードでは、混合クエリの使用はなるべく避けてください。
CVE-2023-34409: PMM認証バイパスの脆弱性
背景
Percona Monitoring and Management (PMM) は、MySQL、PostgreSQL、MongoDBなどのオープンソースデータベース向けの監視・管理ツールです。データベースやホストからメトリクスを収集し、Webベースのダッシュボードに表示します。PMMには、トラブルシューティング、アラート、パフォーマンスの最適化のための機能も含まれています。
ヴァルネラビリティ
この脆弱性はCVE-2023-34409 として追跡されており、PMM の認証処理の方法に存在する認証バイパスの脆弱性である。PMM の 2.0.0 以降のすべてのバージョンに脆弱性があると想定されます。
PMM の脆弱なバージョンでは、認証機能は、ルールセットで一致するパターンを見つけるまで、URL のセグメントを削除していました。この機能は、パストラバースの試みを拒否するために、URLのパスを適切にサニタイズしません。この欠陥は、認証されていないリモート攻撃者が、不正なURLをPMMに送り込むことで悪用される可能性があります。
ミティゲーション
- 特にPMMインスタンスがインターネットから直接アクセスできる場合は、パッチが適用されたバージョンのPMM(2.37.1)にアップグレードすることを強く推奨します。
コメント