PHPFusion CMS にゼロデイ脆弱性 CVE-2023-2453 など:現状ではパッチが無い!

Researchers Discover Critical Vulnerability in PHPFusion CMS

2023/09/06 DarkReading — PHPFusion に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この人気のオープンソース CMS (Content Management System) には、2つの脆弱性があるという。先日に Synopsys の研究者たちが発見した、1つ目の脆弱性 CVE-2023-2453 は、認証されたローカル・ファイル・インクルージョンの欠陥である。この脆弱性の悪用に成功した攻撃者が、悪意を持って細工した “.php” ファイルをターゲット・システム上の既知のパスにアップロードすると、リモート・コード実行が可能になるという。2つ目の脆弱性 CVE-2023-4480 は、その悪用に成功した攻撃者に対して、システム上のファイルの Read/Write を許すものであり、深刻度は Medium とされている。


現状ではパッチが提供されていない

これらの脆弱性は、PHPFusion バージョン 9.10.30 以下に存在する。現在のところ、どちらの脆弱性にも対応するパッチは提供されていない。

Synopsys によると、PHPFusion の管理者に対して何度も接触を試みたという。今週お情報公開に至る前に、最初は電子メールで、続いて脆弱性公開プロセスや GitHub で、そして、最終的にはコミュニティ・フォーラムを通じて、接触を試みたという。なお、Dark Reading からのコメント要請にも、PHPFusion は応じていない。

PHPFusion は、2003年から提供されているオープンソースの CMS である。WordPress/Drupal/Joomla といった他の CMS ほど有名ではないが、同プロジェクトの Web サイトによると、現時点で約 1500万もの Web サイトが PHPFusion を利用しているという。中小企業などでは、オンライン・フォーラムや、コミュニティ主導の Web サイトなどの、オンライン・プロジェクトの構築で多用されている。

Synopsis によると、脆弱性 CVE-2023-2453 は、汚染されたファイル名を持つ、特定タイプのファイルに対する不適切なサニタイズに起因しているという。この問題により、攻撃者は脆弱な PHPFusion サーバ上に、任意の “.php” ファイルをアップロードして、実行することが可能になる。

悪用の条件

この脆弱性を発見した Synopsis のソフトウェア・エンジニアである Matthew Hogg は、「悪用にいたる条件の 1 つは、低特権アカウントであっても、認証が可能な攻撃者であることだ。もう 1 つは、脆弱性のあるエンドポイントを知っていることが必要となる。この2つの条件を満たす攻撃者は、この脆弱性を悪用するペイロードを作成することができる」と述べている。

Synopsis の脆弱性管理エンジニアである Ben Ronallo は、「攻撃者は、悪意を持って細工した “.php” ペイロードを、脆弱なシステムの任意の場所にアップロードする方法を見つける必要がある。つまり、攻撃者は脆弱なエンドポイントを特定するために、PHPFusion のソースコードを確認する必要がある」と述べている。

彼は、「この脆弱性の悪用に成功した攻撃者が実行できるアクションは、PHPFusion のユーザー・アカウントに関連付けられた権限に依存する。たとえば、管理者権限を持つ攻撃者は、OS 上の任意のファイルを読み取ることができる。最悪のケースを想定すると、攻撃者がペイロード・ファイルをアップロードする手段を持っていれば、リモート・コード実行 (RCE) にいたる可能性もある。どちらのケースにおいても、機密情報を盗まれる可能性があり、後者では脆弱なサーバをコントロールされる可能性がある」と指摘している。

その一方で、深刻度の低い方の脆弱性 CVE-2023-4480 は、CMS の管理パネルからアクセスできる Fusion ファイル・マネージャー・コンポーネントの、古い依存関係に関連するものである。Admin および Super Admin の権限を持つ攻撃者は、この脆弱性を悪用して、脆弱なシステム上のファイル内容の開示が可能であり、また、サーバのファイル・システム上の既知のパスに、特定の種類のファイルを書き込むことが可能だと、Synopsis は述べている。

WordPress/Drupal/Joomla などに続くというのが、PHPFusion のポジションのようです。それにしても、世界で 1500万サイトというのは、なかなかの規模です。そして、脆弱性 CVE-2023-2453 ですが、お隣のキュレーション・チームに聞いてみたところ、CWE-829 (信頼できない領域からの機能の取り込み) に分類され、CVSS 値は 8.8 とのことでした。パッチが適用されるまでの間、どのように脅威を緩和していくのか、とても難しい状況ですね。