CVE-2024-2961 – glibc Vulnerability Opens Door to PHP Attacks: Patch Immediately
2024/04/19 SecurityOnline — GNU C Library (glibc) の iconv 関数において、先日に発見された脆弱性 CVE-2024-2961 は、PHP で構築される Web アプリケーションに深刻な影響を及ぼすものだ。この脆弱性を悪用するリモートの攻撃者により、境界を越えたメモリ書き込みが可能となり、 脆弱な PHP アプリケーションのコンテキスト内で、任意のコードを実行される可能性が生じる。
攻撃経路
この脆弱性 CVE-2024-2961 (CVSS:8.8) は、glibc iconv ライブラリの、ISO-2022-CN-EXT プラグインに存在する。この深刻な脆弱性は、文字セットを UCS4 から変換するプロセスで発生する。このプロセスでは、ライブラリへの文字セットの変更を示すために、特定のエスケープ文字が必要になる。 ただし、内部バッファの境界チェックが不十分なため、意図したメモリ領域の外側に、最大で3 Byte の書き込みが発生する可能性がある。
この脆弱性を悪用する攻撃者が、境界外書き込みを引き起こすための悪意の文字列を細工し、リモートでコードを実行させる可能性がある。その結果として Integrity/Confidentiality/Availability (CIA) が損なわれ、深刻なリスクがもたらされる。この脆弱性が悪用されると、アプリケーションのクラッシュや、任意のメモリ破壊、データの上書きなどが発生し、さらにはシステムの乗っ取りへといたる可能性がある。
また、特定のエスケープ・シーケンスを持つ悪意の入力を作成した攻撃者により、 バッファ・オーバーフローが引き起こされる可能性もある。
PHP セキュリティへの影響
この脆弱性を発見したセキュリティ研究者 Charles Fol (@cfreal_) は、PHP を標的とする新たな悪用のテクニックを実証している。それは、PHP のエコシステム全体に重大な懸念を引き起こし、多くの Web アプリケーションを危険にさらすものである。
Charles Fol は、近々に開催される OffensiveCon カンファレンスにおいて、”ICONV, SET THE CHARSET TO RCE: EXPLOITING THE GLIBC TO HACK THE PHP ENGINE” というタイトルの講演を行う。そこでは、PHP 脆弱性と悪用テクニックが、深く掘り下げられる予定だ。
Fol の研究は、CVE-2024-2961に関連する、具体的なリスクを明らかにするだけではなく、PHP エンジンを悪用することの複雑さを、垣間見ることが可能な貴重な機会でもある。提供される洞察により、セキュリティ対策が強化され、脆弱性に対する根本的な理解が深まると期待されている。
行うべきこと
- glibc へのパッチ適用:glibc ライブラリの最新版へと速やかに更新し、この脆弱性に対処する。
- アップデートの監視: PHP に依存する可能性のある、Web フレームワークやアプリケーションから提供されるアドバイザリやパッチに関して、常に最新情報を入手してほしい。
- 防御の強化:
- 入力検証とサニタイズのベストプラクティスを、PHP アプリケーションに導入すべきだ。
- さらに、WAF を使用することも検討してほしい。
こんなに枯れたライブラリであっても、脆弱性が新たに見つかるというのが、現実なのですね。前回の glibc の脆弱性は、2024/01/30 の「Gnu Library C の Root Access 脆弱性 CVE-2023-6246:影響を受ける Linux の範囲は?」に記されています。よろしければ、glibc で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.