CVE-2024-2054: Critical Artica Proxy Flaw Exposed, Patch Unavailable, PoC Published
2024/03/21 SecurityOnline — 人気の Artica Proxy アプライアンスにおける深刻な脆弱性が、KoreLogic のセキュリティ研究者である Jaggar Henry により発見された。この脆弱性 CVE-2024-2054 が未認証の攻撃者に悪用されると、影響を受けるサーバ上で悪意のコードが実行される可能性が生じる。
脆弱性の詳細
この脆弱性のコアは、Artica Proxy の管理 Web インターフェースに存在する、不適切なデシリアライゼーションに起因する。この脆弱性する攻撃者は、細工したリクエストを送信し、悪意の PHP オブジェクトをシステムに注入することが可能になる。このアプライアンスは、”www-data” ユーザー・アカウントでコードを実行するため、悪用に成功した攻撃者は、サーバを大幅に制御できるようになる。
悪用にご用心
現時点において、この脆弱性 CVE-2024-2054 の積極的な悪用は報告されていない。しかし PoC エクスプロイト・コードが公開されており、脅威アクターによる武器化が容易になっているため、状況は危機的である。今のところ、ベンダーから公式パッチは提供されていない。
攻撃のステップ
- 攻撃のトリガー:攻撃者は、Artica Proxy インスタンスに対して、特別な形式の HTTP POST リクエストと悪意のペイロードを送信する。
- 攻撃の実行:脆弱なコンポーネントは、攻撃者が提供したデータを適切なチェックなしにデシリアライズし、悪意の PHP コードを実行させる。
- 攻撃者の遊び場:攻撃者は、Artica Proxy 内の古いライブラリ (Net_DNS2) を利用して、ディスクにファイルを書き込むオブジェクトを作成する。一般的な手口は、Web シェルをアップロードし、攻撃者が侵害したサーバ上で任意のコマンド実行を可能にするものだ。
ただちに緩和策を!
パッチが存在しないため、Artica Proxy のユーザーは、早急に緩和策を講じる必要がある:
- 対策1:脆弱なコンポーネント (‘usr/share/article-postfix/wizard’ ディレクトリ) を削除する。このディレクトリは、プロキシのコア機能には必須ではない。
- 対策2:”usr/share/article-postfix/wizard” ディレクトリを Web ルート・フォルダ外に移動し、ネットワーク経由での直接アクセスを防ぐよう制限する。
この脆弱性の問題点
この深刻度の高い脆弱性は浮き彫りにするのは、デシリアライゼーションの欠陥と、古いライブラリを使用することのリスクである。大規模なインストール・ベースがあり、深刻な侵害の可能性があるため、Artica Proxy を実行している組織は、ただちに緩和策を実施する必要がある。
警戒を怠らないこと
セキュリティの専門家と管理者は、今後にリリースされるであろうパッチのために、Artica のアドバイザリとアップデートを定期的にチェックすべきだ。それまでの間に、ネットワークを保護するためには、警戒を怠らず、早急に緩和策を講じることが重要だ。
Artica Proxy に脆弱性とのことです。ご利用のチームは、ご注意ください。このブログでは、Artica Proxy は初登場ですが、Squid Proxy に関する記事は何本かあります。よろしければ、ご参照ください。また、Artica Tech の Web ページを観ると、「大企業や多国籍企業向けに、強力でありながら使いやすいソリューションを提供する。Artica Proxy の価格は、わずか 99€ からであり、62,000 台以上のアクティブ・サーバが存在している。中小企業や公共団体であっても、組織と従業員のインターネットの危険から低コストで保護する OSS プロジェクトとして、過去 10年間にわたって展開されてきた」と説明されています。
IoT OT Security News 
You must be logged in to post a comment.