CVE-2024-23692: Unauthenticated RCE Flaw in Rejetto HTTP File Server, PoC Published
2024/06/09 SecurityOnline — Rejetto HTTP File Server (HFS) バージョン 2.x に、深刻な脆弱性 CVE-2024-23692 (CVSS:9.8) が発見され、このソフトウェアを利用している組織や個人に、重大なリスクをもたらしている。この脆弱性の悪用に成功した未認証のリモート攻撃者は、任意のコードを実行する可能性を持ち、データ漏洩/ランサムウェア攻撃/システムの完全な侵害へといたる恐れがある。
Rejetto HFS は、ネットワーク/インターネット上でのファイル共有を容易にする、シンプルな Web ファイル・サーバである。提供される Web インターフェイスを介して、HFS を実行しているマシンとの間で、ユーザーはファイルのダウンロード/アップロードを可能にするものとして重宝されている。そのシンプルさと使いやすさの一方で、このサーバに存在する SSTI (Server-Side Template Injection) の脆弱性の発覚により、攻撃者の標的となっている。
この脆弱性が影響を及ぼすのは、主として HFS のバージョン 2.4.0 RC7/2.3m だとされる。根本的な原因は、HTTP レスポンスのレンダリングで用いられるデフォルト・テンプレートを、サーバが処理する際の方法にある。このテンプレートは、リクエストの検索クエリ・パラメータの内容を含んでおり、適切にエスケープされないため、SSTI が有効になってしまう。
通常の運用では、SSTI を防ぐために、シンボルとマクロがエンコードされている。しかし、特定文字のエスケープを、サーバ上で強制的に解除させる攻撃者により、テンプレートへの任意のマクロの注入が可能になる。この悪用は、以下の HTTP リクエストで示されるように、注意深く細工された文字列により実現される:
echo -ne "GET /?search=%25x%25url%25:%host%}{.exec|notepad.}{.break.} HTTP/1.1\r\nHost:\r\n\r\n" | nc 192.168.86.35 80
このエクスプロイトでは、”%url%” のシンボルがエスケープされないため、URL の残りの部分がサーバ側のコンテンツにエコーバックされる。検索クエリ・パラメータを操作することで、攻撃者はデフォルトのテンプレート・マーカーを閉じ、この例にあるように、任意のコマンドを注入してメモ帳のオープンなどを実行できる。
Stephen Fewer は、未認証のリモート攻撃者による悪用が容易であるため、この脆弱性が悪用される可能性は、きわめて高いと評価している。ただし、通常において HFS は、エンタープライズ・レベルの Web サーバとして使用されることはないため、攻撃者の視点からの価値は低いと考えられる。その一方で、ファイル共有に HFS を利用している個人/SOHO ユーザーにとっては、この脆弱性による脅威は深刻である。
この脆弱性は、セキュリティ研究者である Arseniy Sharoglazov により特定され、Stephen Fewer により詳細な分析とMetasploit のエクスプロイト・モジュールが提供されている。それらのオリジナルについては、Stephen Fewer が AttackerKB で公開している。
この脆弱性の、最も懸念される点のひとつは、HFS バージョン 2.x に対するパッチが提供されていないことである。したがって、ユーザーに対して強く推奨されるのは、この脆弱性の影響を受けない、Rejetto HFS バージョン 3.x へのアップグレードである。
Rejetto という HTTP File Server (HFS) に脆弱性とのことですが、エンタープライズではなく個人/SOHO に影響するだろうと、文中では指摘されています。ご利用のチームは、ご注意ください。なお、SSTI とは何だろうと思って調べてみたら、Server-Side Template Injection の略であり、MITRE では CWE-1336 が割り当てられていました。4桁なので、わりと最近のものなのでしょう。
IoT OT Security News 
You must be logged in to post a comment.