Froxlor Web Hosting Control Panel Vulnerable to Remote Compromise (CVE-2024-34070)
2024/05/15 SecurityOnline — 人気の OSS Web ホスティング・コントロール・パネルである、Froxlor に深刻な重脆弱性 CVE-2024-34070 が発見された。この脆弱性の深刻度は CVSS 値 9.7 と評価されており、未認証の攻撃者による Froxlorインスタンスの完全な乗っ取りが可能になるという。その結果として、データの盗難や、サービスの中断だけではなく、ホストされている Web サイトへの、さらなる攻撃につながる可能性も生じる。
この脆弱性について
Froxlor の Failed Login Attempts Logging Feature に存在する、Stored Blind Cross-Site Scripting (XSS) の脆弱性 CVE-2024-34070 が明らかにされた。このタイプの脆弱性は、適切にサニタイズされていないユーザー入力が、サーバに保存された場合に発生する。したがって、他のユーザーがアクセスした際に、事前に入力された悪意のスクリプトが実行される可能性が生じる。そして、Froxlor ケースでは、未認証のユーザーがログイン試行中に、loginname パラメータを通して、有害なスクリプトの注入を可能にするという。これらのスクリプトは、その後に管理者がシステムログで閲覧した際に、実行されるという。
実行される XSS ペイロード
この脆弱性は、Vue.js のデータ・バインディングと改ざんにより回避された、アプリケーションの XSS サニタイズ・ライブラリへの依存を悪用するものだ。具体的に言うと、攻撃者はペイロードを作成し、それを実行させ、攻撃者のコントロール下に新しい管理者アカウントを密かに追加し、アプリケーション全体を危険にさらす。
誰が影響を受けるのか?
Froxlor のバージョン 2.1.9 未満に脆弱性が存在する。Froxlor を使用しているサーバ管理者に強く推奨されるのは、この深刻なリスクを軽減するために、パッチが適用されたバージョン 2.1.9 へと、直ちにアップデートすることだ。
結果として報じる影響
- システムの完全な侵害:管理者アクセスを得た攻撃者は、Froxlor パネル内で、以下のようなアクションを実行する可能性を持つ:
- 機密性の高いユーザー・データの窃取
- Web サイト・コンテンツの改ざん
- サービスの妨害
- さらなるマルウェアの仕込み
- データ漏洩: 侵害されたサーバから、ユーザー認証情報/セッション・トークンなどの、個人を特定できる情報 (PII) が漏洩する可能性が生じる。
- Web サイトの改ざん: 侵害されたサーバ上でホストされている、Web サイトの改ざんが生じる可能性がある。
発見と緩和
この脆弱性は、セキュリティ研究者である Umer Adeem Cheema により発見された。すでに Froxlor は、この欠陥に対処したバージョン 2.1.9 をリリースしている。管理者にとって必要なことは、アップデートに加えて、システムログから不審な動き確認することだ。
推奨事項
- 迅速なアップデート: Froxlor バージョン 2.1.9 へのアップデートを、遅滞なく適用する。
- ログの確認:不正なログインや異常な動作について、システムログを確認する。
- 追加のセキュリティ対策を実施する: Froxlor 管理者の2要素認証 (2FA) を有効化し、Web アプリケーション・ファイアウォール (WAF) を導入することで、追加の保護レイヤーを提供する。
Froxlor は、人気の Web ホスティング・コントロール・パネルとのことですが、かなり深刻な XSS の脆弱性が発見されたとのことなので、ご利用のチームは、ご注意ください。Wikipedia には、「Froxlor は、SysCP プロジェクトから生まれた、無料の OSS Web ホスティング・コントロール・パネルであり、GNU General Public License v2.0 の条件に基づいてリリースされている。2010年2月1日に、SysCP プロジェクトのフォークとして、Froxlor 0.9 がリリースされた。複数のバグ修正が導入され、SysCP から Froxlor 1.0 への移行を促すことになった」と記されています、よろしければ、カテゴリ Open Source も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.