Hackers Set Sights on Apache NiFi Flaw That Exposes Many Organizations to Attacks
2023/09/29 SecurityWeek — Apache NiFi に存在する深刻なリモートコード実行 (RCE) の脆弱性と、すでに出回っているエクスプロイト・ツールにより、不正アクセスやデータ漏洩にいたる可能性があると、Cyfirma が警告している。データ統合/自動化のための OSS ツールである Apache NiFi は、データの処理と配布に使用されるものだ。この脆弱性 CVE-2023-34468 (CVSS : 8.8) は、2023年6月に対処された問題である。具体的に言うと、認証されたユーザーが悪用に成功すると、カスタム・コード実行を可能にする H2 ドライバーを用いて、データベース URL のコンフィグレーションが実行される可能性が生じるという。
特定の NiFi サービスが JDBC を用いるデータベースへのコンフィグレーション可能なアクセスのサポート、および、接続 URL などのプロパティを設定する際の任意の文字列の取り込みにより、この問題は生じる。
そのため、攻撃者が H2 (Apache NiFi で一般的に使用される組み込み Java ベースのデータベース) 用の接続文字列を細工し、脆弱な NiFi インスタンス上でリモートからコードを実行することで、システムやデータへの不正アクセスいたるという。
Cyfirma は、「このバグと悪用を分析したところ、深刻な影響が生じると判明した。攻撃者に許されることを列挙すると、システムへの不正アクセス/機密データの流出/リモートコード実行などになる」と指摘している。
このバグは、NiFi のバージョン 0.0.2〜1.21.0 に影響を及ぼすが、NiFi 1.22.0 のリリースで対処された。
8月30日の時点において、この脆弱性に対するエクスプロイトが公開されているが、現実的な攻撃には至っていないと、Cyfirma は指摘している。
しかし、このバグの深刻さと影響力を前提とし、類似のソフトウェア製品の脆弱性が攻撃に悪用されたことを考慮すると、ユーザー組織に対して推奨されるのは、NiFi インスタンスの更新と、潜在的な悪用の試みに対する継続的な警戒となる。
Cyfirma は、「脅威アクターたちが、Apache NiFi の脆弱性 CVE-2023-34468 の悪用を試みる可能性が高いと認識すべきである。その悪用により、不正アクセス/データ侵害/ネットワーク侵害につながると推測すべきだ。このリスクを真摯に受け止め、パッチやアップデートを適用し、システムを保護する必要がある」と指摘している。
実際に Cyfirma は、ダークウェブ上の脅威アクターたちが、CVE-2023-34468 の悪用について活発に議論しているのを観察している。そして、この脆弱性に対する攻撃の複雑さのレベルは低いと指摘している。
さらに同社は、インターネットに露出している、約 2,700件の Apache NiFi インスタンスの存在を確認している。その内訳は、金融/政府/ヘルスケア/テレコムなどの、さまざまな分野に分布しているという。
この脆弱性 CVE-2023-34468 ですが、お隣のキュレーション・チームに聞いてみたところ、6月23日にレポートをアップしているとのことでした。悪用に成功した攻撃者により、システムへの不正アクセス/機密データの流出/リモートコード実行などが引き起こされる可能性があるとのことです。
IoT OT Security News 
You must be logged in to post a comment.