CVE-2024-33530: Jitsi Meet Flaw Leaks Meeting Passwords, Exposing Calls to Intruders
2024/05/02 SecurityOnline — 人気の OSS ビデオ会議プラットフォーム Jitsi Meet に、深刻な脆弱性が存在することが、Insinuator のセキュリティ研究者である Florian Port により発見された。この脆弱性 CVE-2024-33530 の悪用に成功した攻撃者は、権限なしで会議のパスワードを取得し、セキュリティを回避してプライベートな会議への参加が可能になる。
脆弱性の詳細
Jitsi Meet は、ユーザー・フレンドリーなインターフェースと強力なセキュリティ対策で知られている。会議の管理者は、パスワード保護とロビー機能という、2つのセキュリティ機能を利用できる。しかし、そのシステムのアーキテクチャに新たに発見された脆弱性により、特定の条件下で意図しないパスワードが開示されてしまうことが判明した。
脆弱性 CVE-2024-33530 は、会議の設定に起因するものであり、ロビーで待機しているユーザーが会議に招待されたときに発生する。サーバは不注意にも、Extensible Messaging and Presence Protocol (XMPP) により管理されるプロセスの一部として、Web ソケットを介した XMPP メッセージにより、会議のパスワードを招待者にダイレクトに送信してしまう。このメッセージは、ユーザーのアクセスを確認するだけではなく、機密性の高いパスワードを公開するため、標準的なセキュリティ慣行に反するものとなる。
技術的洞察
Jitsi で利用されている XMPP は、主にインターネット上でのリアルタイム通信と、インスタント・メッセージ用に設計されたプロトコルである。Jitsi のコンテキストにおいて XMPP は、パスワードで保護された部屋の実装を含む、MUC (multi-user chats) の機能を編成している。通常の場合には、XMPP の標準として、保護された会議にアクセスするためのパスワードとメンバー・ステータスの両方が必要となる。しかし、Jitsi の実装においては、パスワード入力時に自動的にメンバー・ステータスが付与され、このセキュリティ・メカニズムが回避されてしまう。この乖離により、モデレーション権限のないユーザー間で、パスワードが不正に共有される可能性があり、プライベートな会議へのアクセスが制御不能になるリスクが高まるという。
概念実証 (PoC:Proof of Concept)
この脆弱性は、招待者にリレーされる XMPP メッセージに、会議のパスワードが含まれているという PoC により実証された。この不具合は、仲介された招待に対するプロトコルのコンプライアンス内で発生するが、安全な会議で期待される機密性の保持には不十分である。
脆弱性の発端と影響があるバージョン
Insinuator の Florian Port は、ある顧客のプロジェクトにおいて、この脆弱性を発見したとしている。同社のさらなる調査 によると、この脆弱性は、Jitsi がロビー機能に対応するために、2020年7月にリリースしたバージョン 1.0.4289 から存在しており、2.0.9364 までの全てのバージョンに影響を及ぼしていることが判明した。しかし、幸いなことに、2024年4月23日の Jitsi 2.0.9457 において、すでにパッチが適用されている。
ユーザーが取るべき対策
Jitsi Meet を使用しているユーザーには、特に機密性の高いディスカッションに使用しているユーザーには、以下の対策を講じることが推奨される:
- 迅速なアップデート:バージョン 2.0.9457 以降にアップグレードする。
- ロビー機能の使用の再考:ロビー機能が本当に必要かどうか、特にセキュリティのために会議パスワードに依存している場合には、慎重に検討する。
- 強力なパスワードの設定:パッチが適用されても、Jitsi のミーティングでは、複雑でユニークなパスワードを使用すべきである。パスワードの再利用や、安全ではない経路での共有は避けるべきだ。
Jitsi Meet という OSS ビデオ会議プラットフォームに、脆弱性と PoC が同時に登場です。ご利用のチームは、ご注意ください。Zoom でも、定期的に脆弱性が報告されているので、このような OSS を利用しようという組織が多いのかもしれません。
IoT OT Security News 
You must be logged in to post a comment.