OpenRefine’s Zip Slip Vulnerability Could Let Attackers Execute Malicious Code
2023/10/02 TheHackerNews — OpenRefine のデータ・クリーンアップおよび変換ツールに存在する深刻な脆弱性により、影響を受けるシステム上で任意のコードが実行される可能性がある。この OSS ソフトウェアの脆弱性 CVE-2023-37476 (CVSS: 7.8) は、OpenRefine バージョン 3.7.3 以下において、特別に細工されたプロジェクトをインポートする際に引き起こされる、Zip Slip の脆弱性に起因するものである。
先週に発表されたレポートの中で、Sonar のセキュリティ研究者である Stefan Schiller は、「OpenRefine は、ユーザーのマシン上でローカルで実行されるように設計されているが、攻撃者がユーザーを騙すことで、悪意のプロジェクト・ファイルをインポートさせることができる。そして、そのような悪意のファイルがインポートされると、ユーザーのマシン上で攻撃者による任意のコード実行が可能になってしまう」と述べている。
Zip Slip の脆弱性を取り込んでしまうソフトウェアは、ディレクトリ・トラバーサルのバグを悪用され、コード実行への道を開く可能性がある。その悪用に成功した攻撃者は、通常はアクセスできないファイル・システム・パートに、アクセスする可能性を持つ。
この攻撃は、2つのパートにより構築されている。具体的に言うと、適切な検証チェックを実行されていない、悪意のアーカイブおよび抽出コードであり、それにより、ファイルの上書きや、意図しない場所での解凍にいたる恐れがある。
それらの抽出されたファイルが、リモートの攻撃者により起動される場合と、システム (またはユーザー) により起動され場合があるが、いずれにおいても被害者のマシン上でコマンドが実行されることになる。
OpenRefine で確認された脆弱性は、アーカイブからファイルを抽出するための “untar” メソッドを悪用する脅威アクターたちが、”…/…/…/tmp/pwned” という名前のファイルを持つアーカイブを作成することで、ディスティネーション・フォルダ外へのファイル書込みを可能にするというものだ。
この脆弱性は、2023年7月7日に報告された後の、2023年7月17日にリリースされたバージョン 3.7.4 で修正された。
Stefan Schiller は、「この脆弱性の悪用に成功した攻撃者は、ファイル・システム上の任意の場所に、任意の内容のファイルを書き込むという、強力な権限を与えられる。root 権限で実行されているアプリケーションの場合において、そこから OS 上の任意のコード実行へと至る道筋は何十通りもある。例を挙げると、passwd ファイルへの新しいユーザーの追加/SSH キーの追加/cron ジョブの作成などがある」と述べている。
先日には、Microsoft SharePoint Server のパッチ適用済の脆弱性 CVE-2023-29357 (CVSS:9.8) と CVE-2023-24955 (CVSS:7.2) について、特権昇格とリモートコード実行を連鎖させるという、PoC エクスプロイト・コードが表面化した。
また、Cyfirma からは、Apache NiFi に存在する深刻な脆弱性 CVE-2023-34468 (CVSS:8.8) に関する警告は発せられている。悪意の H2 データベース接続文字列を経由して、リモート・コード実行へといたる脆弱性であるが、Apache NiFi 1.22.0 で解決されている。
同社は、「この脆弱性の影響は深刻であり、悪用に成功した攻撃者に対して、システムへの不正アクセス/機密データの流出/悪意のリモートコード実行などを許してしまう。したがって、被害者となる組織においては、データの完全性毀損や、業務の中断、金銭的被害、風評損害などが生じる可能性がある」と指摘している。
Zip Slip ってなんだろうと思い Google で検索したら、「Zip ファイルを始めとしたアーカイブ・ファイルの脆弱性のこと。 この脆弱性を利用すると、攻撃対象のファイルを勝手に書き換えたり置き換えたりできるようになる。 特に、アプリケーションやシステムファイルなど、実行される可能性の高いファイルを置き換えられると危険」と答えてきました。イメージとしては、ファスナーを閉めたときに、段違いになってしまうアレなんだろうと思います。その Zip Slip が、OpenRefine ではモロに影響していまうということなのでしょう。
You must be logged in to post a comment.