CVE-2024-29868 in Popular IoT Toolbox StreamPipes Opens Door to Account Takeovers
2024/06/24 SecurityOnline — IIoT (Industrial Internet of Things) データ処理プラットフォームとして広く利用されている、Apache StreamPipes に存在する深刻なセキュリティ脆弱性により、数千人のユーザーがアカウント乗っ取り危険にさらされている。この脆弱性 CVE-2024-29868 は、同プラットフォームにおけるユーザー登録とパスワード回復プロセスで、脆弱な乱数生成器が使用されていることに起因する。
この脆弱性の悪用に成功した攻撃者は、StreamPipes が生成するリカバリ・トークンを、妥当な時間内に予測することができる。そして、このトークンの推測に成功した攻撃者は、ユーザー・アカウントへアクセスを達成し、IoT データ・ストリームの操作/機密情報の流出を可能にし、重要な産業プロセスの妨害などにいたる可能が生じる。
この脆弱性は、StreamPipes 0.69.0〜0.93.0 に影響する。技術者ではないユーザーであっても、StreamPipes を利用すれば、 IoT データの取り扱いが可能になることを考えると、その潜在的な影響力は大きい。製造業/エネルギー/スマートシティなどのインフラにおいて、StreamPipes に依存している業界は、特に脆弱な可能性がある。
この脆弱性は、StreamPipes が使用している擬似乱数生成器 (PRNG) の、暗号強度が不十分であることに起因する。PRNG とは、ランダムに見える数値列を、生成するように設計されたアルゴリズムである。その PRNG の強度が弱いと、予測可能なパターンが生成されるため、次のシーケンスの推測が可能になってしまう。
StreamPipes のコンテキストでは、パスワードを忘れたユーザーに送られる一意のコードであるリカバリ・トークンの生成において、脆弱な PRNG が役割を担っている。この PRNG 脆弱性の悪用に成功した攻撃者は、有効期限が切れる前にトークンを推測し、関連するアカウントへのアクセスを許可できる。
脆弱性 CVE-2024-29868 は、Digital Security Division Var Group の Alessandro Albani により発見された。すでに StreamPipes は、この問題にバージョン 0.95.0 で対処し、リカバリ・トークンの生成における問題を解消している。
StreamPipes ユーザーに対して強く推奨されるのは、バージョン0 .95.0 へと直ちにアップグレードすることだ。管理者にとって必要とされるのは、StreamPipes が導入されているシステムに対して、特に重要なインフラ環境に対して、優先的にパッチを当てることである。
Apache StreamPipes に深刻な脆弱性が発生し、重要インフラなどへの影響が心配されています。擬似乱数生成器 (PRNG) の強度が不十分であり、予測可能なパターンが生成されるため、次のシーケンスの推測が可能になってしまうとのことです。ご利用のチームは、アップデートを、お急ぎください。よろしければ、カテゴリ Industry も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.