Ant Media Server Flaw Grants Local Users Root Access (CVE-2024-32656)
2024/04/29 SecurityOnline — 何千もの組織で使用されている一般的なストリーミング・ソリューションである、Ant Media Server に存在する深刻な脆弱性 CVE-2024-32656 が、Praetorian red team により発見された。この脆弱性はミスコンフィグに起因し、対象システム上で権限を持たない任意のユーザーに悪用されると、最高レベルのアクセスである root への権限昇格にいたる可能性が生じる。
Ant Media Server は、高品質で低遅延のビデオ・ストリーミングを必要とする企業にとって強力なツールであり、世界の 2,000 以上の企業で使用されている。この製品は幅広い機能をサポートしており、あらゆる規模の企業から信頼されているが、今回の脆弱性が浮き彫りにするのは、その導入における潜在的な弱点である。
JMX の問題
脆弱性 CVE-2024-32656 の根本的な原因は、Ant Media Server が Java Management Extensions (JMX) を使用していることにある。JMX は、Java アプリケーションのリモート管理と監視のために設計されており、強力である反面、適切に保護されなければ深刻なリスクをもたらす可能性がある。
今回のケースで研究者たちは、以下のことを発見した:
- Ant Media Server をインストールすると、リモート・アクセスが有効な JMX サービスが開始される。
- 重要なのは、このサービスへの接続に認証が必要なかったことである。
- このサービスは localhost にのみバインドされており、リモートからの直接的な攻撃は制限されていた。
攻撃経路
localhost の制限があるが、同じシステム上の権限のないユーザーにより、この脆弱性の連鎖が悪用される:
- JMX サービスのスキャン:システムをスキャンして、開いている JMX ポートを見つける。
- 認証情報なしでの接続:攻撃者は、ユーザー名やパスワードを提供することなく JMX サービスに接続できる。
- 悪意のコードのロード:続いて攻撃者は、特殊なツールやテクニックを用いることで、悪意の MBean を JMX プロセスに注入できる。このコードは、Ant Media Server と同じ権限で実行される。
- root 取得での悪用:攻撃者は、Ant Media Server プロセスの既存の権限 (特権スクリプトを実行する機能も含まれる) を悪用して、完全な root アクセスを獲得できる。
悪用の影響
root アクセスを獲得した攻撃者は事実上、対象システムを自由にコントロールできるようになり、以下のような悪意のアクションを実行する可能性を持てる:
- データ窃取:機密ビデオストリーム/ユーザー・データなどの機密情報を盗む。
- 妨害行為:ストリーミング・サービスの妨害/重要なファイルの削除を実行する。
- 横移動:侵害されたサーバーを拠点として、ネットワーク上の他のシステムへの攻撃を展開する。
システムを保護するには
- Ant Media Server にパッチを当てる:Ant Media Server を使用している場合には、直ちにパッチを適用する。この脆弱性に対処するためのアップデートが、ベンダーからリリースされている可能性が高い。
- JMX の使用を監査する:環境内で JMX を使用しているソフトウェア群を特定し、それらが適切に保護されていることを確認する。
- セキュリティのベスト・プラクティスに従う:定期的な侵入テストと脆弱性スキャンにより、攻撃者に悪用される前に、この種の問題の発見が促進される。
Ant Media Server について調べてみたら、Linode なのか Akamai なのか、よく分からないページで紹介されていました。文中にあるように、日本でも数多くの企業に採用されているのでしょうか? ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.