メインコンテンツにスキップ
ブログセキュリティLinodeセキュリティダイジェスト 2022年5月2日〜8日¦」を掲載しました。

Linodeセキュリティダイジェスト 2022年5 月2日~2022年5月20日

Linode セキュリティダイジェスト

今週のセキュリティダイジェストでは、マイクロソフトが発見したLinuxの権限昇格問題や、Rancher 、Redisに関連する脆弱性について解説します。

Linuxにおける特権のエスカレーション、Nimbuspwn

Microsoft 365 Defender Research チームは、Nimbuspwn と総称される複数の脆弱性を発見しました。これらの脆弱性を連鎖的に利用することで、Linuxシステム上でroot権限を取得することが可能です。マイクロソフトの研究者は、root権限で実行されるサービスのコードフローを確認し、動的解析を行っていたところ、systemd-networkdの接続状態を変更するためのディスパッチャーデーモンであるnetworkd-dispatcherに脆弱性を発見したとのことです。 

このうち、ディレクトリトラバーサルの脆弱性はCVE-2022-29799 として、TOCTOU (time-of-check to time-of-use) レースコンディションはCVE-2022-29800として MITRE で予約されています。これらの脆弱性は現在も分析中であり、深刻度の評価は行われていません。修正プログラムは、networkd-dispatcher のメンテナである Clayton Craft によって配備されました。研究者は、BluemanとPackageKitの関連する脆弱性についても報告し、ディレクトリ情報の漏洩につながるとしています。 

ディレクトリトラバーサルの脆弱性は、どの関数もOperationalStateやAdministrativeStateの状態をサニタイズしないために発生します。TOCTOU 脆弱性は、スクリプトが発見されてから実行されるまでの間に時間的な遅れがあるために発生します。攻撃者は、networkd-dispatcher が root の所有とみなすスクリプトを置き換えることで、この遅延を利用することができます。 

マイクロソフトの研究者は、彼らのブログのNimbuspwnの記事で、悪用方法とコードの流れを詳しく説明しています。

Rancher/FleetにおけるSSH認証情報の公開について

Raft Engineering の Dagan Hendereson 氏により、Hashicorp の go-getter ライブラリにセキュリティ上の脆弱性があることが確認されました。1.5.11より前のバージョンのライブラリが影響を受け、このライブラリに依存しているRancher や Fleet などのアプリケーションに影響があります。この脆弱性は、SSH の秘密鍵を base64 形式で公開するもので、このような機密情報を冗長化するためのコントロールが欠落しているため、公開されてしまいます。ただし、このアドバイザリによると、この脆弱性は、認証された Git および/またはリポジトリで継続的デリバリを行うために Fleet を使用している顧客にのみ影響するとのことです。FleetとRancher 以外に、脆弱性のあるバージョンを使用しているアプリケーションも影響を受ける可能性があります。Hashicorp go-getter ライブラリは、URLを主な入力形式として、ソースからファイルやディレクトリをダウンロードするために使用されます。

Rancher のパッチは、バージョン 2.513、2.6.4 以降でリリースされています。また、この脆弱性を緩和するための回避策は、パッチが適用されたバージョンにアップグレードする以外にないことが述べられています。アップグレードが完了するまでは、アクセスを信頼できるユーザーに限定すること、また、使用されているURLが正しいかどうかを慎重に検証することが推奨されます。また、SSH 鍵が公開されている場合は、直ちにローテーションを行う必要があります。

Luaスクリプトの操作によるACLルールの克服

Aviv Yahav氏により、Redisにおけるセキュリティ脆弱性が報告されました。この脆弱性は、Lua スクリプトの実行環境の弱点を突くことで、敵対者に Lua コードを注入させる能力を与えます。この脆弱性を利用すると、より高い権限を持つ別の Redis ユーザーによって、注入されたコードが実行される可能性があります。この脆弱性は、7.0.0および6.2.7より前のすべてのバージョンに影響します。この脆弱性は、CWE-94- Improper Control of Generation of Code (Code Injection)に分類され、CVE ID -CVE-2022-24735 が割り当てられています。ユーザーによる操作が必要な場合があり、機密性、完全性への影響が低いため、CVSS スコアは 3.9/10 となり、深刻度は低い問題であると判断されます。 

パッチを適用せずに本脆弱性を緩和する一時的な回避策として、アドバイザリに記載されているように、Redis バージョン 6.0 以降で導入された ACL ルールを使用してSCRIPT LOADおよびEVALコマンドへのアクセスをブロックすることが挙げられます。


コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。