Critical Flaws Uncovered in OpenObserve: A Deep Dive into CVE-2024-25106 & CVE-2024-24830
2024/02/12 SecurityOnline — クラウド・ネイティブの観測プラットフォームである OpenObserve は、ログ/メトリクス/トレース/アナリティクス/RUM (Real User Monitoring) などに関する、詳細を把握するための機能を搭載している。さらに OpenObserve は、PB (ペタバイト) 規模での運用を想定して設計されており、データ観測の複雑なタスクを簡素化し、Elasticsearch に代わる使いやすいプラットフォームを提供している。近ごろ、その OpenObserve に、攻撃者に不正アクセスと権限昇格をゆるす可能性がある、2つの深刻な脆弱性 CVE-2024-25106/CVE-2024-24830 が発見された。
CVE-2024-25106 (CVSS 9.1):OpenObserve のユーザ API における不正アクセスの脆弱性
この脆弱性は、OpenObserve のユーザー管理システムにおける、重大な欠陥に起因する。ユーザー管理を目的とした “/api/{org_id}/users/{email_id}” エンドポイントは、リクエストを開始したユーザーの管理者権限を検証しない。その結果として、組織内で認証された全ユーザーが、割り当てられた権限に関係なく、他の全てのユーザーを削除する能力を得る。恐ろしいことに、削除の対象には、Admin/Root 権限を持つユーザーも含まれているため、ユーザー管理と組織内の機密性を脅かす脅威となる。
核となる問題
- 権限検証の欠如:この脆弱性は、要求するユーザーの管理者権限を検証しないことに起因する。
- 無制限のユーザー削除:組織内の認証されたユーザーであれば誰でも、適切な権限なしに、より高い権限を持つユーザーを含む他のユーザーを削除できる。
この脆弱性の影響は、深刻かつ広範囲に及ぶ。この脆弱性の悪用に成功した攻撃者は、ユーザー・ベースを改ざんして、不正なシステム・アクセス/管理者のロックアウトなどを実行し、ターゲットの業務の中断を引き起こす可能性がある。さらに、ユーザー削除の無差別な性質は、組織のセキュリティと安定性に重大なリスクをもたらす。
CVE-2024-24830 (CVSS 9.9):ユーザ API における OpenObserve 権限昇格の脆弱性
CVE-2024-25106 と同様に、この脆弱性は、OpenObserve のロール・ベースのアクセス制御システムの根本的な欠陥に起因するものだ。 “api/{org_id}/users” エンドポイントは、ユーザー作成プロセス中にユーザーのロールを検証しない。そのため、Root 権限を含む昇格した特権を、一般ユーザーから新規ユーザーへと、割り当てることが許されてしまう。この無許可の権限昇格は、確立されたセキュリティ制御を回避し、データ・セキュリティとシステムの完全性に重大な脅威をもたらす。
この脆弱性がおよぼす影響は、特に管理者ロールのユーザーにとって深刻なものとなる。昇格した権限が不正に割り当てられると、アプリケーション・リソースを無制限に制御できるようになるため、役割ベースのアクセス制御の完全性が損なわれて、機密データが悪用される可能性が生じる。
緩和策と改善策
幸いなことに、2つの脆弱性は、どちらも OpenObserve のバージョン 0.8.0 以降で対処されている。これらの脆弱性がもたらすリスクを軽減するために、システムを速やかに最新バージョンにアップデートすることを、強く推奨する。
OpenObserve を調べましたが、まだ、Wikipedia には無いようです。同社の HP には、「OpenObserve は、ログ/メトリクス/トレースの監視を合理化する、革新的なオープンソース可観測性プラットフォームである。 クラウド・ストレージサービスである S3/GCS/Minio/Azure Blob などとの互換性により、ストレージ コストを大幅に削減する」と記されています。文中にもあるように、Elasticsearch や Splunk に対抗していくのでしょう。
IoT OT Security News 
You must be logged in to post a comment.