CVE-2024-28872 Vulnerability in Stork Monitoring Tool Could Enable Server Takeover
2024/03/27 SecurityOnline — Kea DHCP サーバ用の、人気のオープンソース・ネットワーク監視ツールである Stork に、深刻な脆弱性 CVE-2024-28872 が存在することが、セキュリティ研究者たちにより発見された。この脆弱性の悪用に成功した攻撃者は、Stork サーバを乗っ取り、機密データを漏洩させ、重要なネットワーク・サービスを停止させる可能性がある。
Stork とは
Stork は、Kea DHCP サーバを管理/監視するための、ユーザー・フレンドリーな GUI をネットワーク管理者に提供する。また、ユーザー認証/認可を管理するために、LDAP と統合されている。この DHCP サーバは、IP アドレスを割り当て、シームレスなネットワーク接続を確保する上で、重要な役割を果たす。
脆弱性の説明
この深刻な脆弱性 CVE-2024-28872 (CVSS:8.9) は、Stork が TLS 証明書を検証する方法に起因するものだ。攻撃者は、Stork サーバーから有効な TLS 証明書を取得し、それを悪用して Stork エージェント (監視サービスとともに動作するソフトウェア) に接続することで、この脆弱性を悪用できる。接続を確立した攻撃者は、Kea や BIND 9 のような監視対象のサービスに対して、昇格した権限で悪意のコマンドを送信することが可能になる。
想定される影響
- データの漏洩:脆弱性の悪用に成功した攻撃者は、Stork サーバ/Kea/BIND 9 から、機密設定データやログを流出させる可能性がある。
- サービスの中断:攻撃者は、Kea/BIND 9 サーバをシャットダウンさせ、デバイスの接続に影響を及ぼし、ネットワークの停止を引き起こす可能性がある。
- サーバ操作:攻撃者は、Stork サーバや、それが監視するサービスの設定を変更する可能性があり、さらなるセキュリティ・リスクが生じ得る。
脆弱性の影響を受ける可能性があるのは?
Kea/BIND 9 インフラの管理に Stork を利用していると、この脆弱性の影響を受ける可能性がある。この脆弱性は、Stork 自体に存在するものであり、Stork が監視する DHCP や DNS サーバには無いことに注意する必要がある。
緩和策と修正策
- 早急なパッチ適用:最も重要なのは、最新のパッチ適用バージョンの 1.15.1 以降へと、直ちに Stork をアップデートすることだ。
- ネットワークのセグメンテーション:ファイアウォールやネットワークのセグメンテーションを使用して、Stork サーバと対応するエージェント間のアクセス制限を検討する。それにより、保護レイヤーが追加される。
その他の防御策
- アップデートを監視する: Stork の最新リリースやセキュリティ・アドバイザリを常にチェックし、潜在的な脆弱性に対処する。
- ログを確認する:Stork/Kea/BIND 9 のログを監視し、不審な動きや不正な設定変更の有無を確認する。
Kea DHCP サーバを管理/監視する Stork とのことですが、調べてみたら BIND でおなじみの ISC が提供する製品のようです。いまは、NIST の NVD が不調のため、CVE-2024-28872 に関する公式の情報が得られないので、ISC のアドバイザリが頼りです。よろしければ、ISC -Cisco -NISC -Discord で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.