CVE-2024-22263 Flaw in Spring Cloud Data Flow Could Lead to Server Takeover
2024/05/29 SecurityOnline — Cloud Foundry および Kubernetes 環境において、マイクロ・サービス・ベースのストリーミング/バッチ・データ処理に広く使用されている、Spring Cloud Data Flow フレームワーク に脆弱性 CVE-2024-22263 が発見された。この脆弱性は深刻度が高いとされており、攻撃者に、任意のファイル書き込みを許し、深刻なサーバ侵害につながる恐れがある。
この脆弱性は、特に Spring Cloud Data Flow 内の、Skipper サーバ・コンポーネントに影響を及ぼすものだ。Skipper サーバは、パッケージのアップロード・リクエスト処理のために設計されているが、アップロード・パスが適切にサニタイズされないという欠陥を持つ。この欠陥は、Skipper サーバ API にアクセスできる攻撃者に、悪意のアップロード・リクエストの作成を許すものだ。その結果として、攻撃者は、ファイル・システム上の任意の場所に、任意のファイルの書き込みが可能になり、サーバ全体を危険にさらす可能性が生じる。
脆弱性が存在する Spring Cloud Skipper のバージョンは以下の通りだ:
- Spring Cloud Skipper 2.11.0~2.11.2
- Spring Cloud Skipper 2.10.x
この脆弱性は、セキュリティ研究者の cokeBeer/crisprss/LFYSec/skyxsecurity によって発見および報告された。
影響を受けるバージョンを使用しているユーザーに強く推奨されるのは、脆弱性 CVE-2024-22263 のリスクを軽減するために、修正されたバージョン 2.11.3 にアップグレードすることだ。このアップデートにより、アップロード・パスが適切にサニタイズされ、この脆弱性の悪用が防止される。
Spring Cloud Data Flow のユーザーには、パッチの適用に加えて、以下の対策も推奨される:
- Skipper サーバ API へのアクセスを見直し、権限を与えられた担当者のみに制限する。
- サーバのログを監視して、不審な動きの有無を確認する。
- IDS (intrusion detection systems) や WAF (web application firewalls) などのセキュリティ対策を導入し、悪意のリクエストを検知してブロックする。
Spring Cloud の Skipper に、任意のファイルの書き込みの脆弱性が発見されました。その結果として、Cloud Foundry および Kubernetes 環境に影響が生じるとのことなので、ご利用のチームは、ご注意ください。よろしければ、Spring で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.