Patch Now! CVE-2024-28752 – SSRF Vulnerability Impacts Apache CXF Users
2034/03/14 SecurityOnline — OSS の Web サービス・フレームワークとして人気の高い Apache CXF だが、ユーザーに対して直ちにアップデートするよう渓谷は発せられている。Apache CXF の 4.0.4/3.6.3/3.5.8 未満のバージョンに、サーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2024-28752 が発見されたのだ。この脆弱性は “Important”と評価されており、対処が遅れると深刻な結果が生じると示唆される。
SSRFとは?
SSRF の脆弱性とは、ユーザーから提供された URL を、Web サービスが適切に検証しない場合に発生する。悪意のリクエストを作成し、標的となるサービスに対して内部/外部システムへの接続を強制することで、攻撃者による悪用が達成される。それにより、以下のような問題が発生する可能性がある:
- 機密データの漏洩: 攻撃者は内部ネットワークを調査し、機密情報の暴露へといたる可能性がある。
- 悪意のリダイレクト: サービスを騙して有害な Web サイトへとユーザーを誘導し、フィッシングやマルウェアの配布を助長する。
- さらなる悪用:攻撃者が脆弱なサーバ上で攻撃者がリモート・コードを実行するという、 深刻なケースにいたる恐れがある。
セキュリティ研究者である Tobias S. Fink が、この脆弱性の開示者としてクレジットされている。
誰が影響を受けるのか?
脆弱性 CVE-2024-28752 は、受信リクエストの処理に Aegis DataBinding を使用する、Apache CXF Web サービスに対して大きく影響する。あなたの Web サービスが、その他のデータ・バインディングを使用している場合には、この欠陥はリスクを生じない。
何をおこなうべきか
- 直ちにパッチを適用:Apache CXF のバージョンを 4.0.4・3.6.3・3.5.8 以上にアップグレードする。
- コードの見直し: Aegis DataBinding を使用している場合は、ユーザーが提供する URL の処理方法を注意深く調べる必要がある。悪意の入力を防ぐために、厳密なバリデーションを実装すべきである。
- 徹底的な防御:脆弱性が悪用されることを想定して、潜在的な SSRF 攻撃の影響を軽減するために、ファイアウォールとネットワーク・セグメンテーションを実装する。
Apache CXF について調べてみたら、「OSS フレームワークである CXF は、JAX-WS/JAX-RS などのフロントエンド・プログラミング API を用いるサービスの、構築/開発を効率化する。これらのサービスにおいては、SOAP/XML/HTTP/RESTful HTTP/CORBA などの各種プロトコルの使用が可能であり、HTTP/JMS/JBI などの各種トランスポート上で動作する」と解説されていました。また、CXF という名前の由来ですが、オリジナルの開発者である、Celtix と XFire の社名から取ってきたとのことでした。
IoT OT Security News 
You must be logged in to post a comment.