Remote Code Execution Discovered in Spotify’s Backstage
2022/11/15 InfoSecurity — Spotify のオープンソース・プロジェクトである、Cloud Native Computing Foundation (CNCF) インキュベーション Backstage で、リモートコード実行 (RCE) にいたる可能性のある脆弱性が発見された。この発見は、Oxeye リサーチ・によるものであり、vm2 というサードパーティ・ライブラリを介して、仮想マシン (VM) のサンドボックス・エスケープを悪用するものである。
今日の未明に Oxeye は、「Spotify のバグバウンティ・プログラムを通じて、この RCE の脆弱性を報告し、Backstage チームはバージョン 1.5.1 により、迅速にパッチ適用を行った」とアドバイザリに記している。
この、開発者ポータル構築プラットフォームに影響を及ぼす脆弱性について、Spotify は Critical (CVSS : 9.8) と評価している。
また、Oxeye はアドバイザリで、「Backstage は、Prometheus/Jira/ElasticSearch システムなどとの統合の詳細を保持する。したがって、この脆弱性の悪用に成功した攻撃者は、すべての影響を受けるシステムにアクセスし、そのサービスやデータを危険にさらすことが可能になる」と述べている。
Oxeye は、ローカルでのペイロード実行を成功させた後に、この種の脆弱性が悪用された場合の潜在的な影響を評価しようと試みた。
彼らは、「Shodan で Backstage のファビコン・ハッシュ値を調べる簡単なクエリを実行し、500以上の Backstage インスタンスがインターネットに公開されていることを確認した。そして、ターゲットとなる Backstage インスタンスで認証することなく、それらがリモートで悪用される方式を評価してみた」と述べている。
セキュリティ研究者たちは、Backstage が認証/認可の機構を持たずにデフォルトで導入されており、ゲストアクセスを許していることを発見した。そして、「インターネットからアクセス可能なパブリック Backstage サーバの中には、認証を必要としないものもあった」と述べている。
そこで Oxeye は、プラットフォームが保持しているチュートリアルのガイドラインに従い、認証を必要とするローカルの Backstage インスタンスをセットアップしようと試みまた。そして、「バックエンド API へと流れるリクエストは、認証も承認も検証されなかった」と指摘している。
言い換えれば、インターネットに公開されたインスタンスのバックエンド API サーバに対して、ダイレクトにリクエストを送ろうとしたとき、いかなる形式の認証/承認を必要としないケースがあることを、研究者たちは発見した。彼らは、「したがって、多くのインスタンスにおいて、この脆弱性が認証を必要とせずに悪用される可能性があると判断した」と指摘している。
この脆弱性の影響を軽減するために、Oxeye と Spotify は企業や個人に対して、Backstage の最新バージョンへとアップデートするよう促している。
Oxeye は、「加えて、アプリケーションでテンプレート・エンジンを使用している場合には、セキュリティに関して適切なものを選択するようにしてほしい。堅牢なテンプレート・エンジンは極めて便利だが、組織にとってリスクとなる可能性がある」と付け加えている。
Backstage は、開発者のためのポータル構築プラットフォームであり、Prometheus/Jira/ElasticSearch システムなどとの統合の詳細を保持するとされています。そして、バックエンド API へと流れるリクエストは、認証も承認も検証されなかったとも、記されています。よろしければ、11月1日の「Zombie API と Shadow API の恐ろしさ:API 乱立の副産物に向き合う」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.