CVE-2024-29937: Critical NFS Vulnerability Exposes BSD Systems to Remote Code Execution
2024/03/25 SecurityOnline — OpenBSD や FreeBSD などの BSD 由来のオペレーティング・システムで使用されている NFS (Network File System) に、深刻な脆弱性 CVE-2024-29937 が存在することが判明した。この脆弱性の発見者である、signedness.org のセキュリティ研究者たち (Christer/Claes/Marcus) は、近々に開催される t2 Infosec Conference でプレゼンを行う予定だという。
きわめて容易なエクスプロイト
この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上でリモートからの任意のコード実行が可能になり、システムの完全な制御にいたる恐れがあるため、きわめて深刻な事態が想定される。気がかりなのは、研究者たちが、「この脆弱性は、きわめて単純なものであり、私たちが調査した NFS の、ほぼ全てに脆弱性が存在していた」と述べている点だ。
脆弱性がもたらすリスク
NFS は、ネットワーク上でファイルをシームレスに共有するプロトコルとして、広く使用されている。そのため、センタライズされたファイル・ストレージと、クリティカルなアクセスが重視されるエンタープライズ環境で好んで使われている。したがって、この脆弱性により、それらの無数のサーバやデバイスが危険にさらされる可能性がある。
t2 Infosec Conference:脆弱性の詳細が明かされる
この脆弱性の発見者である研究者たちは、4月18日〜19日にヘルシンキで開催される t2 Infosec Conference で、“Two fat men, a clipboard warrior and a one file system (NFS)” と題したプレゼンテーションを行い、脆弱性 CVE-2024-29937 について詳述する予定だ。以下のデモ動画では、ターゲット・システムを簡単に侵害し、ユーザーの操作なしにバインド・シェルを取得する方法が紹介されている。
オペレーティング・システムの NFS (Network File System) に脆弱性という、とても深刻な話です。このブログ内を、NFS で検索してみましたが、この種の脆弱性に関する記事は見つかりませんでした。よろしければ、BSD で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.