2024/06/19 SecurityOnline — 2024年6月5日に SolarWinds が公表したのは、同社の Serv-U に新たに発見された、パス・トラバーサルの脆弱性 (CVE-2024-28995) に関するアドバイザリである。この脆弱性は、Hussein Daher により発見されたものであり、SolarWinds Serv-U 15.4.2 HF 1 以下のバージョンに影響を及ぼす。そして、この問題を緩和するパッチは、バージョン 15.4.2 HF 2 以降に適用されている。
この パス・トラバーサルの脆弱性 CVE-2024-28995 の悪用に成功した、未認証の攻撃者は、ファイル・システムからの任意のファイルの取得を可能にする。この脆弱性の悪用は、ターゲットとなるフォルダとファイルをパラメーター “InternalDir” と “InternalFile” で指定し、ルート・ディレクトリ ” / ” へ向けた単純な GET リクエストを発行することで達成される。それにより、パストラバーサル・セグメント ” ../ ” の不十分な検証が発生し、攻撃者はセキュリティ・チェックのバイパスを可能にする。
GreyNoise Intelligence は、この悪用の試みに関するデータ収集のために、高度なハニーポットを配備した。このハニーポットは、脆弱性のある Serv-U アプリケーションを忠実に模倣し、本物のシステムと同じように反応する。数日間の運用において、GreyNoise が捕捉したのは、ハンズオン・キーボード・アクティビティを含む、いくつかのエクスプロイトの試みである。
GreyNoise が観測したエクスプロイトの試みは、以下の通りである:
Windows
Linux
興味深いことに、Serv-U のパス・トラバーサル・フィルターは、プラットフォームに適合するスラッシュ (Linux の場合は “/”、Windows の場合は “\” ) のみをチェックしている。この見落としにより、不正なスラッシュを使用したエクスプロイトがフィルタをバイパスし、その後に “修正” されることで、エクスプロイトの成功につながるという。
GreyNoise のハニーポットでは、”/etc/passwd” や Serv-U の起動ログのような重要なファイルをターゲットにした、さまざまなペイロードが発見されている。この、一連のデータが示すのは、一般的なペイロードとカスタマイズされたペイロードが混在し、また、攻撃者たちの洗練度が異なることである。
注目すべき観察結果
- ペイロードのコピー・ペースト・エラー:
ある攻撃者は、不正なキャレット “^” 文字を取り込んだペイロードを使用しているが、この処理が示唆するのは、ペイロードを理解せずにコピーしたことである。このミスは、中国の IP アドレスから観測された。 - ハンズオン・キーボード・アクティビティ:
より興味深い発見は、リクエストに英語以外の UTF-8 文字 (%E3%80%81) を含む中国の IP からの攻撃であり、手動による入力を示していた。この攻撃は、4時間にわたって繰り返して試行されており、自動化されたスキャンではなく、手作業による関与が示唆されている。
すでに SolarWinds は、すべてのユーザー対して、Serv-U のバージョン 15.4.2 HF 2 以降へのアップデートを勧告しており、それにより、この脆弱性を緩和するとしている。
今年に入ってから、SolarWinds の脆弱性は2月と3月と5月に発生し、今回で6月は2件目となります。以前のようなサプライチェーン攻撃にいたる前に、それぞれの脆弱性は収束しているようであり、野放し状態での悪用は観測されていないようです。このような状態をキープするためにも、迅速なアップデートが不可欠です。すでに悪用が観測されていますので、ご利用のチームは、ご注意ください。よろしければ、SolarWinds で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.