CVE-2024-30156 Flaw in Popular Varnish Cache Software Could Cripple Websites
2024/03/24 SecurityOnline — Web サイトのスピードとパフォーマンスの向上のために、広く利用されている Varnish Cache だが、深刻なセキュリティ脆弱性 CVE-2024-30156 が発見された。この脆弱性の悪用に成功した攻撃者は、サービス拒否 (DoS) 攻撃を仕掛け、コンテンツが豊富な大規模な Web サイトが相手であっても、ダウンさせる可能性を持つという。
Varnish Cache とは
Varnish Cache は強力な Web アプリケーション・アクセラレータであり、Web サーバと訪問者の仲介役として機能する。頻繁にリクエストされるコンテンツのキャッシュ・コピーを保存することにより、Web サイトを高速化していく。Varnish で保護されたサイトにユーザーがアクセスすると、Varnish はメインの Web サーバを煩わせることなく、コンテンツをダイレクトに提供できる。それにより、サーバの負荷が劇的に軽減され、Web サイトの応答性が向上する。
ブローク・ウィンドウ攻撃
新たに発見された脆弱性は、Varnish Cache の HTTP/2 接続処理を妨害を、攻撃者に許してしまうものだ。Varnish がデータを処理する方法を、攻撃者が操作することにより、実質的にソフトウェアをフリーズさせ、リソースを保持させ、正当なトラフィックを提供できないようにしてしまう。この手法は、ブローク・ウィンドウ攻撃として知られている。
脆弱性が存在するバージョン
この脆弱性が存在するのは、Varnish Cache の HTTP/2 サポートが有効化されている、以下のバージョンとなる:
- Varnish Cache 7.5.x/7.4.3/7.3.2/6.0.13 LTS 未満
- Varnish Enterprise (商用) 6.0.12r5 以下
サイト管理者がとるべき対策
Varnish Cache を使用しているセキュリティ・チームおよび Web 管理者は、直ちに対策を講じる必要がある:
- アップグレード:パッチを適用したバージョンの Varnish Cache に、直ちにアップグレードする。
- HTTP/2 を無効にする:早急なアップグレードが不可能な場合は、一時的な緩和策として、HTTP/2 のサポートを無効化する。この対策をとる場合には、Web サイトのパフォーマンスに若干の影響が出る可能性があるため、注意が必要だ。
パッチ適用の重要性
システムに Varnish Cache を使用しており、パッチが未適用の場合には、DoS 攻撃に対して特に脆弱な状態にあると考えるべきだ。攻撃を受けた場合には、Web サイトがダウンし、ビジネスに深刻な混乱が生じる可能性があるため、Web ベースの攻撃から保護するために、セキュリティ・アップデートを常に把握しておくことが不可欠だ。
大量のコンテンツへの大量のアクセスを処理する Web サイトにとって、Varnish Cache のようなキャッシュ・システムは不可欠です。そんなことから、この脆弱性 CVE-2024-30156 が速やかに収束することを期待してしまいます。1ヶ月ほど前の 2024/02/27 には、「WordPress Litespeed Cache の脆弱性 CVE-2023-40000 が FIX:数百万のサイトが危険な状態」という記事がポストされています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.