CVE-2023-49109: Apache Dolphinscheduler Remote Code Execution Vulnerability
2024/02/20 SecurityOnline — ワークフロー・スケジューリング・プラットフォームである Apache DolphinScheduler に、複数のセキュリティ脆弱性があることが、最近の研究で明らかになった。このソフトウェアを使用している管理者やセキュリティ専門家たちは、これらの脆弱性へ早急に対処する必要がある。
Apache DolphinScheduler の脆弱性の詳細
- CVE-2023-49250 (深刻度 Low):不適切な証明書検証に起因する脆弱性であり、成りすましにつながる可能性がある。DolphinScheduler では、HTTPS 接続を行う際に、デジタル証明書が適切に検証されていないことが判明した。この脆弱性の悪用に成功した攻撃者は、正規のサーバを模倣して、機密通信を傍受する中間者 (MitM:Man-in-the-Middle) 攻撃を実行する可能性がある。
- CVE-2023-51770 (深刻度 Important):この脆弱性の悪用に成功した攻撃者は、DolphinScheduler が動作しているサーバ上で、任意のファイルを読み取りが可能になる。それにより、機密性の高い設定ファイル/内部データ/システム・ファイルなどが漏洩する可能性がある。
- CVE-2023-50270 (深刻度 Important):パスワードが変更された場合、セッションは残るべきではない。しかし、DolphinScheduler のセッションの固定化のバグにより、パスワード変更後もユーザー・セッションがアクティブな状態を継続してしまう。理論的には、古いセッションを乗っ取ることが可能な攻撃者であれば、そのユーザーがパスワード変更前に持っていた権限を継承できてしまう。
- CVE-2023-49109 (深刻度 Important):この脆弱性の悪用に成功したリモートの攻撃者は、DolphinScheduler サーバー上で任意のコード実行が可能になる。それにより、システムの完全な侵害/データの抜き取り/ネットワーク内での横移動などの、憂慮すべき脅威が現実のものとなる。
脅威は迫っている:今すぐ行動を!
アップグレードを怠ると、中程度の専門知識しか持たない攻撃者であっても、これらの弱点を突くことが可能である。その結果として、個々のワークフローからシステムのセキュリティにいたるまで、すべてが危険にさらされる可能性がある。DolphinScheduler で管理しているデータの機密性に応じて、深刻な結果を招く可能性がある。
有効な解決策:早急なアップグレード
幸いなことに、Apache DolphinScheduler の開発チームは、これらの脆弱性に対処したパッチを迅速にリリースしている。これらのセキュリティの抜け穴を塞ぎ、デプロイメントを保護された状態にするために、バージョン 3.2.1 へのアップグレードが不可欠である。
Apache DolphinScheduler について調べてみましたが、Wikipedia では見つからず、Dremio というサイトに解説がありました。そこには、「金融/保険/電気通信などの分野における、複雑な処理および分析タスクをサポートする、オープンソースの分散ワークフロー・スケジューリング・システムである。また、Hadoop/Spark/Flink などのビッグデータ・プラットフォームで実行されるタスクを、サポートするように設計されている」としるされていす。よろしければ、2023/12/31 の「Apache DolphinScheduler の脆弱性 CVE-2023-49299 が FIX:ただちにパッチを!」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.