Apache OpenMeetings Web Conferencing Tool Exposed to Critical Vulnerabilities
2023/07/20 TheHackerNews — Web 会議ソリューションである Apache OpenMeetings に、複数のセキュリティ上の脆弱性が存在することが明らかになった。その悪用に成功した攻撃者により、管理者アカウントの制御を奪取され、サーバ上で悪意のコードを実行される可能性があるという。Sonar の Vulnerability Researcher である Stefan Schiller は、「攻撃者は、アプリケーションを想定外の状態に追い込み、管理者アカウントなどの、各種のユーザー・アカウントを乗っ取ることができる」と、The Hacker News と共有したレポートの中で述べている。
さらに Schiller は、「取得した管理者権限を用いる攻撃者が、Apache OpenMeetings サーバ上で任意のコードを実行することで、別の脆弱性が悪用される可能性も生じる」と述べている。
これらの脆弱性は、2023年3月20日に情報が公開された後に、2023年5月9日にリリースされた OpenMeetings 7.1.0 で対処されている。3つの脆弱性の詳細は以下の通りだ:
- CVE-2023-28936 (CVSS:5.3):招待ハッシュのチェック不足
- CVE-2023-29032 (CVSS:8.1):招待ハッシュを経由した無制限アクセスにつながる認証バイパス
- CVE-2023-29246 (CVSS:7.2):管理者権限を持つ攻撃者にコード実行を許す NULL バイト (%00) インジェクション
OpenMeetings で作成されたミーティングの招待状と詳細情報は、特定のルームとユーザーにバインドされるだけではなく、アプリが取得する一意のハッシュを伴う。
最初の2つの脆弱性 (CVE-2023-28936/CVE-2023-29032) は、ユーザーが提供するハッシュとデータベースに存在するハッシュとの比較と、ルームが割り当てられていないルームの招待状の作成という問題に関係している。それにより、ルームが割り当てられていない招待状が発生してしまうという。
これらの脆弱性の悪用に成功した脅威アクターは、イベントを作成してルームに不正参加し、イベントを削除することで持続性を得てしまう。続いて、ハッシュ比較の問題を悪用することで、送信された招待状を列挙し、 ワイルドカードのハッシュ入力により復元していく。
Schiller は、「関連するイベントが削除されるとルームも削除されるが、攻撃者がルームに存在するため、このルームはゾンビルームとなる。つまり、招待に関連するハッシュ交換ではエラーが発生するが、対象ユーザーの完全なパーミッションを持つ、招待者にとって有効な Web セッションが作成される」と説明する。
つまり、攻撃者はゾンビルームにより管理者権限を取得し、OpenMeetings インスタンスに変更を加えることができるようになり、ユーザーとグループの追加と削除/ルーム設定の変更/接続ユーザーのセッションの終了などが可能になる。
Sonar が確認した3つ目の脆弱性は、画像の編集と処理を行う オープンソース・ソフトウェアである、ImageMagick に関連する実行可能ファイルのパスに関するものである。それにより、管理者権限を持つ攻撃者が、ImageMagick のパスを “/bin/sh%00x” に変更し、任意のシェルコマンドをトリガーすることで、任意のコード実行の可能性が生じる。
Schiller は、「有効な画像ヘッダと任意のシェルコマンドを取り込んだ、偽の画像ファイルをアップロードすると、最初の引数が偽の画像である /bin/sh が生成され、その中の全コマンドが実行される。この脆弱性とアカウント乗っ取りと組み合わることで、自己登録した攻撃者によるサーバ上でのリモート・コード実行にいたる可能が生じる」と述べている。
Apache の OpenMeetings は触ったことがありませんが、Zoom などで感じることは、単発と継続というルームの性質があり、それらを切り分けることが難しく、また、それぞれのルームに、さまざまな人々が、その都度むすび付けられるという点です。時間が経つにつれ、スマートな接続方式が出てくると、期待したいです。しばらくの間は、この記事に書かれているような問題が、あちらこちらで起きそうですね。よろしければ、Zoom で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.