CVE-2023-41474: Ivanti Avalanche Directory Traversal Flaw, PoC Published
2024/01/29 SecurityOnline — Ivanti Avalanche は、Mobile Device Management (MDM) 領域の強力なツールであり、堅牢な倉庫スキャナから洗練された小売用タブレットにいたるまでの、さまざまなデバイスを管理する迷路の中で、組織を導く道標の役割を果たしている。
Avalanche Server v6.3.4.153 に存在する CVE-2023-41474 は、セキュリティ研究者 JBalanza により発見/報告されたものだ。この脆弱性は、非認証で達成される限定的なパス・トラバーサルの欠陥に起因している。より簡単に言えば、この脆弱性の悪用に成功した未認証の攻撃者は、特定のディレクトリを秘密裏に操作することでシステム内を移動し、他のディレクトリ/ファイルにアクセスできることになる。詳細については、GitHub で公開されている解説と PoC を参照してほしい。
デフォルトの設定では、攻撃者は “C:\PROGRAM DATA\Wavelink\AVALANCHE\Web\ webapps\AvalancheWeb” の下にあるファイルにアクセスできる。しかし、”.htaccess” ルールに従うと、”.xml” や “.html” のような特定の拡張子を持つファイルも危険にさらされる。
攻撃者は、URL パターンである “<domain>/AvalancheWeb//faces/javax.faces.resource/<file>?loc=<directory>” を使って、この弱点を突くことができる。
たとえば、WEB-INF ディレクトリに存在する、ファイル “web.xml” への不正アクセスの可能性が生じる。このような攻撃の影響を、過小評価することはできない。”wget” や “curl” のような単純なツールを利用して、この脆弱性の悪用が行われると、危険なアクセスにいたることになる。
実際の CVE-2023-41474 攻撃シナリオには、認証されていない攻撃者が、コンフィグレーション情報や内部情報にアクセスするものもある。一見すると機密性への影響は低いように見えるが、本当の意味での危険はセッション・ハイジャックやサーバーの完全な侵害の可能性である。
この憂慮すべき展開により、Avalanche プロセスのヒープ・ダンプへのアクセスの可能性が生じる。攻撃者によるヒープダンプの実行だけではなく、管理者による誤ったヒープダンプの実行においても、ファイル “dump.hprof” は機密情報の宝庫となり、パス・トラバーサル攻撃により容易にアクセスできるようになる。
“wget” コマンドで武装した攻撃者は、ダンプ・ファイルをダウンロードし、そこからログイン・リクエスト・ボディを探し出すことが可能だ。これらのボディは、その時点ではメモリに残っており、ユーザー名とパスワードを含んでいる可能性がある。
JBalanza は、「いくつかの基本的な文字列検索を実行することで、その時点でメモリ内に残っている、ログイン・リクエストの本体を見つけることができる」と説明している。
彼は、「その中には、ユーザー名とパスワードが含まれているため、攻撃者に対して公開されてしまう。この情報を悪用する攻撃者は、特権昇格を行い、環境内での横方向への移動を可能にする」と付け加えている。
この原文記事は、タイトルに PoC があって、本文では触れられていないという、ちょっと不思議な構成 (?) になっています。ただし、リンク先の GitHub に掲載されていたので、本文も少しだけ修正しました。このところ、Ivanti はタイヘンです。眠る間もないのではと、心配になってしまいます。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.