CVE-2024-4701 (CVSS 9.9): Major RCE Risk in Netflix’s Genie Platform
2024/05/09 SecurityOnline — Netflix の BigData 処理用 OSS ジョブ・オーケストレーション・エンジン Genie に、深刻なリモートコード実行 (RCE) の脆弱性が発見された。この脆弱性は CVE-2024-4701 として追跡され、その CVSS スコアは 9.9 である。
Genie は、Netflix が開発した分散ジョブ・オーケストレーション・エンジンであり、複数の分散処理クラスタにまたがる BigData ジョブ管理に広く使用されている。サポートする BigData プラットフォームは、Hadoop/Pig/Hive/Spark/Presto/Sqoop などであり、効率的なジョブやメタデータの管理のための REST-full API を提供している。
この欠陥は、基盤となるファイル・システム上に、ローカルとして添付ファイルを保存する、Genie の OSS ユーザーに影響を及ぼす。それを悪用する攻撃者は、”multipart/form-data” ファイル・アップロード・リクエストのファイル名を操作することで、ディレクトリ構造をトラバースし、意図したストレージパス外へのファイルの書き込みを可能にする。この悪用により、攻撃者はシステム上で任意のコードを実行する可能性を手にする。これらの添付ファイルをローカルに保存しないユーザーにおいては、この特定の問題に関する脆弱性は存在しない。
この問題は、ファイル・アップロードを処理する Genie の API に起因する。この API では、アップロード処理中のユーザーにより、ファイル名をダイレクトに指定できる。そのため、攻撃者は、パストラバーサル攻撃を実行するために、ファイル名を注意深く細工することが可能となる。この手法により攻撃者は、Genie プロセスが書き込みパーミッションを持っているサーバ上の任意の場所に、選択した内容の任意のファイルを書き込むことが可能になる。
脆弱性 CVE-2024-4701 の悪用に成功した攻撃者は、脆弱な Genie サーバ上で悪意のコードを実行できるようになる。それにより、システムの完全な侵害につながるという、深刻な影響が生じる。
セキュリティ研究者 jmoritzc53 は、この脆弱性の発見と公開により評価されている。
Genie の開発チームは、Genie OSS バージョン 4.3.18 で、この脆弱性に対処している。ユーザーに対して強く推奨されるのは、可能な限り早急に、このパッチが適用されたバージョンへとアップグレードすることだ。この修正は、issue #1217 に含まれている。
Netflix Genie について調べましたが、同社の紹介ページにある内容は、この記事の文中で引用されているものでした。日本の市場で、どれくらい利用されているのかは分かりませんが、ご利用のチームは、ご注意ください。よろしければ、Netflix で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.