PoC Exploit Released for Apache NiFi Code Execution Vulnerability
2023/11/25 SecurityOnline — Apache NiFi に影響を及ぼす、パッチ適用済みのコード実行の脆弱性 CVE-2023-34212 に対して、セキュリティ研究者である Matei “Mal” Badanoiu が PoC エクスプロイトを公開した。この脆弱性の CVSS スコアは 6.5であり、JNDI/LDAP を介した Java のデシリアライゼーションの悪用により、リモート・コード実行 (RCE) を許すものだ。
影響を受けるバージョン
この脆弱性の影響を受ける Apache NiFi のバージョンは 1.8.0〜1.21.0 だ。これらのバージョンを使用している場合は、直ちに NiFi 1.22.0 以降にアップグレードすることが推奨される。
脆弱性の詳細
この脆弱性は、”JndiJmsConnectionFactoryProvider” コントローラ・サービスと “ConsumeJMS” プロセッサを含む、Apache NiFi 内の複数の JMS/JNDI コンポーネントに存在する。認証され許可されたユーザーは、特別に細工された Clojure JAR ファイルを指す悪意の JNDI URL を細工することで、この脆弱性を悪用できる。この JAR ファイルがデシリアライズされると、脆弱な NiFi インスタンス上で任意の Java コードの実行が可能になる。
悪用の結果
この脆弱性の悪用が成功してしまうと、Apache NiFi を使用している組織において、深刻な結果が生じる可能性がある。脆弱な NiFi インスタンス上で、攻撃者が任意のコードを実行することで、不正アクセス/データ盗難/システム侵害が引き起こされる可能性がある。
PoC エクスプロイト
Badanoiu がリリースしたのは、CVE-2023-34212 の悪用の可能性を示す PoC エクスプロイトである。この PoC は、この脆弱性の潜在的な深刻性を再認識させ、影響を受けるシステムにパッチを適用する緊急性を強調するものである。
彼は、「JndiJmsConnectionFactoryProvider コントローラ・サービスと ConsumeJMS プロセッサのみが、この脆弱性についてテストされているが、より多くのコンポーネントがmこの攻撃に対して脆弱な可能性がある」と説明している。
緩和策
この脆弱性を緩和するためには、Apache NiFi 1.22. 0以降にアップグレードする必要がある。このアップデート・バージョンは、JNDI URL を検証し、ロケーションを許可されたスキームのセットに制限することで、攻撃ベクーを効果的に排除する。さらに、厳格なアクセス制御を実装し、機密データへのアクセスを制限することで、セキュリティ体制をさらに強化できる。
Apache NiFi については、Cloudera が日本語で解説していますので、よろしければ、ご参照ください。この脆弱性 CVE-2023-34212 ですが、お隣のキュレーション・チームに聞いてみたところ、2023/06/23 にレポートしているとのことでした。また、2023/09/29 には、「Apache NiFi の脆弱性 CVE-2023-34468:脅威アクターたちが悪用方法を議論し始めている」という記事がポストされていました。
IoT OT Security News 
You must be logged in to post a comment.