High-Severity Access Control Vulnerability Found in Spring WebFlux
2023/08/09 InfoSecurity — Spring Security の最新バージョンに、新たな脆弱性 CVE-2023-34034 (CVSS:9.8) が見つかった。Spring Security は Java ベースの Spring フレームワークの不可欠なパートであり、強固な認証とアクセス制御に対応している。その幅広いユーザー・ベースにより、このセキュリティ上の脆弱性が悪用されると、壊滅的な結果につながる可能性が生じる。
JFrog の研究者による調査の結果は、火曜日に公開されたアドバイザリで説明されているが、この脆弱性の正確な性質/潜在的な被害者/不正アクセスを引き起こす可能性を示すシナリオの、PoC エクスプロイトに注力するものになっている。
技術的な観点から見ると、このバグはフィルタ・バイパスに起因する問題であり、Spring WebFlux で構築されたアプリケーションの、機密領域への不正アクセスを許す可能性がある。したがって、この悪用に成功した攻撃者により、アプリケーションのセキュリティと完全性が損なわれる可能性がある。
この脆弱性が影響を及ぼす Web アプリケーションは、Spring WebFlux フレームワークを利用し、脆弱な Spring Security のバージョン (例:5.6.0) を採用し、URL パスフィルタリングを先頭の前方スラッシュなしで、複数セグメントのワイルドカード (例:”.pathMatchers(“admin/***”)”) を取り込んで使用するものである。
JFrog の Senior Security Researcher である Yair Mizrahi は、「指定された NVD の深刻度スコアが Critical であっても、私たちの記事で詳述されている非常に特殊なケースにのみに適用され、デフォルトで全ての Spring アプリケーションに影響するわけではない。また、古い “Spring MVC ” フレームワークを使用しているアプリケーションは影響を受けない」と明言している。
この脆弱性が影響及ぼす範囲は、対象となる Spring WebFlux アプリケーションが、認証とアクセス制御において、脆弱なバージョンの Spring Security を使用していることが前提となる。
ただし、DevOps チームやソフトウェア開発者には、Spring Security の安全なバージョンへのアップグレードおよび、JFrog アドバイザリに含まれる修正プログラムに、速やかに対処することが強く推奨される。
Wikipedia で Spring Security を調べると、エンタープライズ・アプリケーションに対して、認証/認可などのセキュリティ機能を提供する、Java/Java EE フレームワークであり、2003 年末に開始されたプロジェクトだと、紹介されています。お隣のキュレーション・チームに聞いてみたところ、この脆弱性 CVE-2023-34034 自体は、7月25日にレポートされているとのことです。PoC エクスプロイトが登場しましたので、アップデートを、お急ぎください。
IoT OT Security News 
You must be logged in to post a comment.