CVE-2024-30251: Denial of Service Vulnerability in aiohttp Threatens Web Services
2024/05/02 SecurityOnline — Python アプリケーションにおいて、非同期 HTTP リクエスト処理を可能にする、人気の OSS ライブラリ aiohttp で、深刻な DoS の脆弱性 CVE-2024-30251 (CVSS:7.5) が発見された。この脆弱性の悪用に成功した攻撃者は、単一の不正な POST リクエストを送信することで、Web サービスを麻痺させることを可能にする。この脆弱性は、高性能な Web アプリケーション開発のために aiohttp に依存している、テクノロジー企業/Web 開発者/バックエンド・エンジニア/データ・サイエンティストたちにとって、重大な懸念事項となるだろう。
この脆弱性 CVE-2024-30251 は、aiohttp が multipart/form-data POST リクエストを処理する方法に起因する。この脆弱性の悪用に成功した攻撃者は、特別に細工したリクエストを送信することで、aiohttp サーバを無限ループに陥らせる。したがって、それ以降のリクエストの処理が不能となり、サービスを事実上オフラインにさせることに成功する。
脆弱性の影響と悪用
さまざまな外部 API からデータを集約するアプリケーションの構築のために、aiohttp が、普及していることを考えると、この脆弱性の潜在的な影響が、広範囲に及ぶ可能性が高くなる。この脆弱性の悪用に成功した攻撃者は。サービスを中断させることが可能になるため、特にリアルタイムのデータ処理と応答性に依存しているサービスにおいては、ダウンタイムの発生と大きなビジネス損失につながる可能性が生じる。
パッチと緩和策
この脆弱性に対して、aiohttp チームは迅速に対応し、パッチ適用したバージョン 3.9.4 をリリースしている。しかし、この修正には、フォーム・データの処理に関するマイナーな問題が含まれているため、完全な修復には、より包括的なアップデートが必要となる。すぐに最新版へとアップグレードできないユーザーに対して aiohttp 開発チームは、脆弱性の重要な部分に対処する、最小限の差分パッチを提供している。より強固なバックポートのための、具体的なコミットには、cebe526/7eecdff/f21c6f2 でのアップデートが含まれる。
これまでの悪用と現在進行中のリスク
aiohttp がサイバー脅威の標的になったのは、今回が初めてのことではない。2024年3月には、ランサムウェア・グループの ShadowSyndicate が、aiohttp に存在するディレクトリ・トラバーサルの脆弱性 CVE-2024-23334 に関して、脆弱なサーバを積極的にスキャンしていることが報告されていた。それにより明らかになるのは、サイバー犯罪者たち、特にランサムウェアなどに関与する者たちにとって、このような類の脆弱性が魅力的であることだ。
開発者と管理者への推奨事項
Web 開発者/システム管理者に強く推奨されるのは、aiohttp の使用状況を確認して、この脆弱性の悪用リスクを軽減するために、直ちに最新バージョンにアップグレードすることだ。さらに、この脆弱性や、他の既知の脆弱性を悪用しようとする動きが起こる可能性があるため、システムにおける異常な動きを監視する必要がある。
文中にもある、aiohttp への攻撃に関しては、2024/03/15 の「AIOHTTP の脆弱性 CVE-2024-23334 と PoC:ShadowSyndicate による悪用を確認」で、お伝えしています。aiohttp とは何かと思い、検索してみたところ、APIDOG というブログに「Python の aiohttp とは?その使い方を完全解説」という、ピッタシの記事が提供されていました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.